[ 바이러스 ] 최악의 랜섬웨어 BEST 5

값진 파일을 모바일 장치에 보관하는 사례가 증가하면서, 모바일 장치를 표적으로 하는 랜섬웨어도 증가하고 있다. 실제하는 중대한 위협이지만, 랜섬웨어는 2018년과 2019년에 감소세로 돌아섰다. 가장 유행했었던 랜섬웨어들은 어떤 것이 있고 어떤 공격을 하는지 정리해보았다.

 

1. 심플락커(SimpleLocker)

2015년 말과 2016년 초에 공격 표적이 된 플랫폼은 안드로이드였다. 랜섬웨어에 감염된 경우 사용자가 UI의 일부에 접근할 수 없도록 만들어 파일 액세스를 힘들게 만든다. 이른바 ‘블로커(Blocker)’ 공격이다.

​

그러나 2015년 말에 아주 공격적인 랜섬웨어인 심플락커가 확산되기 시작했다. 실제 파일을 암호화하고, 범죄자의 도움 없이는 액세스가 불가능하도록 만든 첫 번째 안드로이드 기반 랜섬웨어 공격이었다. 심플락커는 보안 도구들이 잡기 더 힘들도록 트로이 목마 다운로더를 통해 악성 페이로드를 배포한 첫 번째 랜섬웨어이기도 했다.

2. 워너크라이(WannaCry)

2017년 중반, 서로 관련이 있는 2종의 랜섬웨어 공격이 전세계에 산불처럼 확산되었다. 이로 인해 우크라이나 병원과 캘리포니아 라디오 방송국의 기능이 정지되었다. 랜섬웨어가 실존적 위협이 된 것이다.

​

첫 번째는 이른바 워너크라이(WannaCry)로 불리는 랜섬웨어 공격이었다. 어베스트(Avast)의 펜은 “워너크라이는 인류 역사상 가장 심각한 랜섬웨어 공격이었다. 이 랜섬웨어 공격은 5월 12일 유럽에서 시작되었다. 어베스트의 조사에 따르면, 단 4일만에 116개 국가에서 25만 번의 감염 사고가 발생했다”고 말했다(1년이 넘는 기간 안드로이드 감염 사례가 15만인 것과 비교되는 통계다).

​

3. 낫페트야(NotPetya)

워너크라이는 새로운 시대를 열었고, 낫페트야는 이를 확인시켜줬다. 페트야는 사실 2016년으로 거슬러 올라가는 랜섬웨어 패키지였다.

​

그러나 워너크라이 발발 몇 주 뒤, 워너클라이처럼 이터널블루 패키지를 사용하는 업데이트된 버전이 확산되기 시작했다. 이에 보안 연구원들은 원래 버전을 뛰어넘어 발전된 버전이라는 의미에서 ‘낫페트야’라는 이름을 붙였다. 낫페트야는 랜섬웨어가 아니고, 러시아가 우크라이나를 사이버공격하기 위해 랜섬웨어처럼 위장한 버전이라는 소문이 많았다.

​

4. 샘샘(SamSam)

2015년 말, 샘샘이라는 소프트웨어를 사용한 공격이 발생했다. 그러나 세상을 떠들썩하게 만든 사건들을 일으키면서 확산된 것은 이후 몇 년 동안이다. 콜로라도 주 정부 산하 교통부, 애틀란타 시 정부, 수 많은 의료시설이 피해를 입었다.

​

무엇보다 샘샘은 기술적인 것보다 조직적인 랜섬웨어라는 특징을 갖고 있다. 맹목적으로 특정 취약점을 찾지 않고, 대신 컨트롤러가 세심히 사전에 선정한 표적에서 취약점을 찾는 RaaS(Ransomware-as-a-Service)이다. 이 랜섬웨어는 IIS에서 FTP, RDP로 취약점을 찾아 익스플로잇 공격을 한다. 시스템 내부에 들어가면, 공격자는 권한을 상승시켜 나간다. 그리고 파일 암호화를 시작하는 단계에 도달하게 되면, 큰 피해가 초래된다.

​

5. 류크(Ryuk)

류크는 2018년과 2019년에 떠들썩했던 또 다른 표적화 된 랜섬웨어 변종이다. 다운타임이 거의 용인되지 않는 조직들이 피해자가 됐다. 일간 신문사, 허리케인 플로렌스 이후에 고군분투하고 있었던 노스 캐롤라이나 주의 수도 유틸리티 회사가 여기에 포함된다.

​

LA 타임즈는 소유 시스템이 감염되었을 때 일어난 일을 꽤 자세히 설명한 기사를 냈다. 류크의 고약한 기능 중 하나는 감염시킨 컴퓨터의 윈도우 시스템 복구 옵션을 비활성화시켜, 사이버 몸값을 지불하지 않으면 암호화된 데이터를 복구하기 아주 어렵게 만든다는 것이다.

랜섬웨어의 특성

2017년의 48%라는 통계가 아주 높게 생각될지 모르겠지만, ‘영향’을 받은 조직 중 상당수는 IT 보안 전문가들 쉽게 탐지해 해결할 수 있는 단순한 랜섬웨어 페이로드가 첨부된 피싱 이메일을 받은 회사들이었다.

​

반면, 표적화 된 랜섬웨어 공격은 영향을 받는 조직의 수가 훨씬 더 적지만, 공격 성공 확률은 훨씬 더 높다. 즉 감염 사례 감소가 공격자의 부당이익 감소로 연결되지 않는다.

​

2017년에는 48%에 달하는 조직이 랜섬웨어에 영향을 받았지만, 2018년에는 4%에 불과했다. 랜섬웨어가 줄어든 몇 가지 이유가 있다. 첫 번째 이유는 특정 표적에 맞춤화 되어있고, 샘샘과 류크 같이 정교한 컨트롤러에 의해 실시간 운영되는 랜섬웨어 공격이 증가하고 있기 때문이다.

​

랜섬웨어는 피해자가 여러 능동적인 단계를 밟아 사이버 몸값을 지불하도록 요구 한다. 예를들어, 피해자가 비트코인에 대해 모르는 경우, 먼저 비트코인에 대해 파악해야 한다. 그런 다음 다른 공격을 할지, 아니면 그냥 사이버 몸값을 지불할지 평가해 결정하게 된다.

​

 

#비트코인 #암호화폐거래소 #gateio #gatekorea #이더리움 #리플 #블록체인 #블록체인뉴스 #이오스 #크립토#암호화폐 #암호화폐경제 #암호화폐뉴스 #암호화폐시세 #비트코인시세 #사물인터넷 #4차산업 #규제샌드박스#블록체인경제 #ETH #Ethereum #이더리움 #블록체인시세 #가상화폐 #IEO #암호화자산거래소 #블록체인주식 #비트코인전망 #비트코인가격 #비트코인거래소순위 #블록체인컨퍼런스 #블록체인기술 #블록체인지갑 #블록체인구조 #게이트아이오 #게이트코리아

​

#게이트아이오 공식채널 :

<Official Support> 게이트아이오 문의, 커뮤니티

텔레그램방(Telegram) : https://t.me/gateiokr

네이버카페(Naver Cafe) : https://cafe.naver.com/gateiokorea

카카오 오픈채팅방(Kakao) : https://open.kakao.com/o/gm8Ysgub

카카오플러스(Kakao Plus) : http://pf.kakao.com/_xnDmGC

​

<Official Page>게이트아이오 공지, 정보공유

네이버블로그(Naver Blog) : https://blog.naver.com/gateiokorea

네이버밴드(Naver Band) : https://band.us/band/72807993

티스토리(Tstory) : https://gateiokorea.tistory.com/

스팀잇(Steemit) : https://steemit.com/@gateioexchange

트위터(Twitter) : https://twitter.com/gate_io

페이스북(Facebook) : https://www.facebook.com/OfficialGateio

인스타그램(Instagram) : https://www.instagram.com/gate.io/

​

<Official Tech> 게이트아이오 기술관련

미디엄(Medium) : https://medium.com/@gateio

깃허브(Github) : https://github.com/gateio

거래소 홈페이지(Homepage): http://gate.io

​