러시아와 연계된 악명 높은 랜섬웨어 클롭(Clop)의 새로운 변종이 처음으로 리눅스를 노리는 것으로 나타났다.
사이버보안 매체 사이버뉴스는 7일(현지시간) 사이버보안 애널리스트 센티넬연구소가 지난 12월 24일 리눅스를 공격하는 클롭 변종을 처음 발견했다고 보도했다.
ELF로 불리는 이 변종은 이전에 나타난 윈도 OS 이후 버전과 유사한 암호화 방법을 사용하며, 윈도 서버를 노리는 클롭과 매우 유사한 것으로 알려졌다.
클롭은 주로 러시아 및 우크라이나 랜섬웨어 갱단이 파일을 암호화하는 데 사용하는 것으로 알려진 악성 프로그램이다.
센티넬은 지난 7일 발표한 보고서에서 "윈도 버전에서는 특정 폴더와 파일을 암호화하지 않기 위해 해싱 알고리즘이 포함돼 있지만, 리눅스 변종에서는 이러한 기능이 관찰되지 않았다"며 "ELF 변종은 특정 폴더, 하위폴더 및 전체 파일/유형을 대상으로 한다"고 밝혔다.
센티넬은 윈도 변종은 피해자가 차단된 데이터를 검색하는 데 필요한 암호 해독키를 받을 수 있도록 몸값을 지불하도록 강제하는 방식으로 작동되는 반면, 리눅스 변종은 몸값을 지불하지 않고 암호화된 파일을 해독할 수 있는 결함이 있다고 설명했다.
센티넬에 따르면 리눅스 버전에는 사이버 공격 중 암호화 프로세스에 사용되는 RC4라는 마스터키가 있어, RC4를 사용해 ELF 변종에 의해 잠긴 파일을 해독할 수 있다.
센티넬은 "이들은 윈도 버전의 클롭을 단순히 복사하는 대신 맞춤형 리눅스 페이로드를 구축하기로 택했다"며 "우리는 이것이 새로운 리눅스 버전과 확실히 자리 잡은 윈도 버전 사이의 기능 차이가 생긴 주된 이유라고 생각한다"고 말했다.
관련기사
- 해커는 즉각 움직이는데…기업은 1년 전 악성코드도 대응 못해2021.07.23
- 랜섬웨어, 피해 기업 소비자도 협박한다2021.03.29
- 마이크로소프트, 랜섬웨어 배포자 100명 이상 추적2023.02.01
- 美 FBI, 랜섬웨어 갱단 '하이브' 해킹해 사이트 압수2023.01.29
이어 "앞으로 ELF 변종은 윈도 버전과의 이러한 차이를 점진적으로 제거하고, 업데이트된 각 기능이 두 변종에 동시에 적용될 것으로 예상한다"고 덧붙였다.
한편, 러시아어를 사용하는 클롭 랜섬웨어 조직은 2019년에 발견됐으며, 수많은 유명 랜섬웨어 공격을 일으켰다. 2020년 11월에는 이랜드그룹이 클롭 랜섬웨어 조직의 공격을 받아 이랜드리테일 점포 일부가 영업 중단을 겪기도 했다.
