신규 서비스형 랜섬웨어(RaaS) 프로그램인 ‘반헬싱’이 3월 7일 출시 후 한 달여 만에 3명의 피해자를 내며 빠르게 주목받고 있다.
반헬싱 RaaS 프로젝트는 독립국가연합(CIS)에 대한 공격을 금지하고 있는 것으로 미뤄 볼 때 러시아 출신으로 추정되고 있다. 공격자들이 암호화와 이중 갈취에 이를 사용하면서 지난 16일 보안 기업 사이피르마(CYFIRMA)에 의해 최초 발견됐다.
사이피르마는 블로그 게시물에서 “반헬싱은 실행되면 암호화된 파일에 ‘.vanhelsing’ 확장자를 추가하고 데스크톱 배경화면을 변경하며, 피해자의 시스템에 ‘README.TXT’라는 이름의 랜섬 노트를 남긴다”라고 설명했다.
피해자 중 한 명은 지정된 비트코인 지갑에 50만 달러를 지불하라는 요구를 받은 것으로 전해졌다.
멀티 플랫폼 RaaS
사이피르마는 처음에 반헬싱을 윈도우 대상 랜섬웨어로 보고하면서 “윈도우 시스템을 대상으로 설계된 이 랜섬웨어는 고급 암호화 기술을 사용하고 손상된 파일에 고유한 파일 확장자를 추가한다”라고 언급했다.
그러나 며칠 후, 체크포인트(Check Point)는 다크웹에서 다중 플랫폼 변종을 제공한다는 반헬싱의 광고를 발견했다.
체크포인트는 블로그에서 “연구팀이 윈도우를 대상으로 하는 2가지 반헬싱 랜섬웨어 변종을 발견했지만, 광고에서 언급한 대로 RaaS가 리눅스, BSD, ARM, ESXi 시스템을 대상으로 하는 더 많은 제품을 제공하는 것으로 나타났다”라고 설명했다.
체크포인트는 이 RaaS가 랜섬웨어 작업을 간소화할 수 있는 직관적인 제어 패널을 제공한다고 전했다. 체크포인트가 분석한 두 변종 중 더 새로운 버전은 5일 간격으로 컴파일됐으며 ‘상당한 업데이트’가 이뤄졌다. 이는 해당 프로그램이 빠르게 진화하고 있음을 시사한다.
반헬싱 RaaS 프로그램은 CIS 국가의 시스템 암호화를 금지하고 있어 러시아 사이버 범죄의 전형적인 특징을 보였다.
정교한 제휴 프로그램
반헬싱은 C++로 작성된 정교한 랜섬웨어로, 체크포인트가 관찰한 컴파일 타임스탬프에 따르면 사이피르마에 발견된 당일 첫 피해자를 공격한 것으로 추정됐다.
체크포인트는 “이 랜섬웨어는 네트워크 및 로컬 드라이브 또는 특정 디렉토리와 파일을 암호화할지 여부를 제어하는 여러 명령줄 인수를 허용한다”라고 설명했다.
또한, 체크포인트가 공유한 광고 스크린샷에 따르면, 반헬싱은 암호화 제어, 암호화 모드, 자체 전파, 디버깅 등 제휴사 친화적인 기능을 제공하고 있다.
체크포인트는 신규 제휴사의 경우 반헬싱 프로그램 접근 권한을 얻기 위해 5,000달러의 보증금을 지불해야 하지만, 경험이 있는 제휴사에게는 무료로 참여 권한이 주어지고 있다고 설명했다. 체크포인트는 “피해자의 몸값 지불을 두 차례 블록체인으로 확인한 결과, 제휴사는 수익의 80%를 받고 RaaS 운영자가 나머지 20%를 받는 것으로 나타났다”라고 설명했다.
반헬싱 RaaS 프로그램은 피해자가 파일을 복원하거나 복구하지 못하도록 윈도우 VSS(Volume Shadow Copy Service)에 의해 생성된 파일 또는 볼륨의 백업 복사본인 ‘섀도우 복사본’을 모두 삭제하도록 설계됐다.
사이피르마에 따르면 해당 랜섬웨어는 지금까지 미국과 프랑스 정부, 제조 및 제약 회사를 표적으로 삼았다. 사이피르마는 기업이 강력한 암호화, 인증 및 구성 관행을 구현하고 중요 시스템과 파일의 백업할 것을 권고했다.
[email protected]
Read More from This Article: 한 달 새 피해자 발생··· 신규 랜섬웨어 ‘반헬싱’, 빠르게 확산 중
Source: News