[알림] 시스코 탈로스가 밝혀낸 최신 록키 랜섬웨어 트렌드


시스코 탈로스(Talos)란?


그리스 신화에서 크레타 섬을 지키는 거대한 청동 거인 ‘탈로스’! 탈로스는 시스코 내부의 보안 위협 분석 센터입니다.


탈로스는 약 670명의 보안 전문가들로 구성되어 있으며, 365일 운영됩니다. 탈로스는 매일 전세계 이메일 트래픽의 35%, 130억 개의 웹 리퀘스트 분석, 그리고 매일 43억 개의 웹 차단을 통한 실시간 위협 인텔리전스를 전세계 조직들에게 제공합니다. 


대표적인 랜섬웨어 .locky, 그리고 .locky의 변종인 .odin, .zepto는 상당히 잘 알려져 있는 멀웨어입니다. 그리고 이제는 .shit 이라는 멀웨어까지 등장했다고 합니다. .shit은 다름 아닌 .locky가 암호화된 파일 확장을 위해 사용하는 방식을 의미합니다. 

 

시스코 탈로스가 최신 스팸 추세를 분석해 록키 랜섬웨어 최신 배포 방식에 대한 3가지 특징을 밝혀냈습니다. 


  • Campaign 1: “Receipt XXX-XXX” Spam (Affil ID=3) 

  • Campaign 2: “saved_letter_XXXXXXXX” Spam (Affil ID=1)

  • Campaign 3 - Various Spam, namely ‘Free’ (Affil ID=3)


어떻게 밝혀냈는지 궁금하시다고요? 시스코 탈로스가 이전에 발표한 LockyDump 유틸리티를 사용한 덕분에, 각 캠페인을 통해 전달된 록키 바이너리와 연결된 Affiliate ID와 유관한 멀웨어 캠페인들의 차이를 잘 찾을 수 있었기 때문입니다.

 

록키 랜섬웨어 패밀리에 대한 기술적인 디테일은 다행히 지금까지 많이 문서화 및 리포트 되었습니다. 그렇기 때문에 랜섬웨어 패밀리에 대한 자세한 설명은 생략하도록 하겠습니다. 각 캠페인에 대해 더 자세히 알고 싶으신 분들은 여기를 클릭해 확인해보시기 바랍니다.^^


시스코 보안 전문가의 팁


시스코 황성규 보안 스페셜리스트

시스코 탈로스에 따르면, 본문에서 설명된 Pumpkin Spiced Locky는 알려 드린대로, 3 스타일의 해킹 캠페인이 있었던 것으로 밝혀졌으며, 총 600여개의 변종 파일이 만들어 졌습니다. 또한 무려 50개의 C&C 사이트를 통해 배포 되고 있습니다. 이러한 랜섬웨어 공격은 당분간 지속 될 것으로 예상되고 있어 관리자와 사용자의 주의가 필요합니다.


랜섬웨어에 의한 업무중단을 경험하지 않기 위해서는 중요한 파일을 수시로 백업하는 것이 첫 번째 입니다. 그 다음은 사용자 교육을 통해 불필요한 이메일/웹사이트의 방문을 자제토록 하는 것 입니다. 그러나 감염의 모든 책임을 사용자에게 넘기는 것이 최선의 방법은 아닐 겁니다.


기술적으로 대응하는 방법도 있을 텐데요, 시스코 ESA(이메일보안)와 AMP(APT대응)를 사용해서 유행하는 최신 멀웨어 유입을 최대한 빠르게 차단해서 일반 사용자의 부주의에 의한 감염을 선제적으로 막아 주는 것도, 랜섬웨어에 대응하는 좋은 방법입니다.


이번 포스팅은 시스코 탈로스 테크니컬 리드 워렌 머서(Warren Mercer)가 작성한 블로그 Pumpkin Spiced Locky를 바탕으로 준비되었습니다.