갠드크랩의 습격…상반기 랜섬웨어 절반

2분기 랜섬웨어 감염 피해 증가…안랩 '상반기 랜섬웨어 동향'


[아이뉴스24 김국배 기자] 올 상반기 가장 기승을 부린 랜섬웨어 악성코드는 갠드크랩으로 나타났다.

갠드크랩 랜섬웨어는 컴퓨터 파일을 암호화한 뒤 해독키를 제공하는 대가로 대시코인 등 암호화폐를 요구한다.

15일 안랩에 따르면 2분기 보고된 랜섬웨어 감염 건수가 1분기에 비해 15.7% 증가했다. 특히 4월과 5월에 감염이 집중적으로 일어났다. 갠드크랩이 원인이다.

반대로 3월과 4월에는 랜섬웨어 감염이 감소했다. 매그니베르 유포가 중단됐기 때문으로 분석됐다. 안랩이 3월에 공개한 복호화 툴의 영향으로 추정된다.

다만 매그니베르는 2개월 뒤인 6월 더욱 진화한 형태로 다시 등장했다.

기존 매그니베르는 파일 내부에 키값을 갖고 있어 이를 이용해 암호화된 파일을 복호화할 수 있었던 반면 현재는 복호화에 필요한 정보를 감추기 때문에 분석을 통해 복호화할 수 없다.

분석을 방해할 목적으로 문자열 난독화가 강화됐으며, 진단을 우회하기 위해 '파일리스(Fileless)' 형태로 전환됐다.

매그니베르의 빈자리는 갠드크랩이 차지했다. 폭발적 증가로 상반기 발견된 랜섬웨어의 절반(50%)에 달했다.

갠드크랩의 경우 ▲스팸성 메일의 첨부파일 ▲취약점 공격도구와 결합한 멀버타이징 ▲다른 악성코드로부터 다운로드 ▲정상 소프트웨어 가장 등 다양한 방식으로 유포됐다.

지난해부터 올 1분기까지는 가장 비율이 높았던 매그니베르(28%)는 2위로 밀려났고, 랜섬크립트(13%)가 뒤를 이었다.

특히 갠드크랩 제작자는 안랩이 갠드크랩을 무력화하는 차단도구를 공개하면 곧바로 변종을 내놓는 등 보안업체와 기싸움을 계속하고 있다. 가장 최근 갠드크랩 버전에는 안랩 백신(V3)을 노린 악성코드까지 포함시키며 전쟁을 선포하기까지 했다. V3에 과부하를 일으키고 최악의 경우 컴퓨터에 블루스크린을 띄우는 악성코드다.

안랩 측은 "2분기 랜섬웨어 신규 샘플과 피해 건수는 1분기 대비 증가했다"며 "갠드크랩과 매그니베르는 다양한 유포방식과 감염 형태로 하반기에도 피해가 계속될 것"이라고 전망했다.

김국배기자 vermeer@inews24.com

관련기사


포토뉴스









아이뉴스24 TV