파일명까지 암호화하고 보다 교묘한 협박 메시지 발송
해당 공격의 호스트가 우크라이나에 있는 것으로 파악
[보안뉴스 주소형] 크립토월(CryptoWall) 랜섬웨어의 새로운 버전인 ‘크립토월 4.0’이 앵글러 익스플로잇 킷에 포장되어 새로운 드라이브 바이 다운로드(DBD, Drive-By Download) 방식을 통해 확산되고 있다. 여기서 DBD 방식은 사용자가 특정 사이트에 접속하는 것만으로도 감염되는 일종의 공격 방법 중 하나다. 이는 덴마크 보안기업인 헤임달 시큐리티(Heimdal Security)사가 포착했다.
▲ 벌써 다 감염됐군....
헤임달사가 크립토월 4.0의 움직임을 처음 발견한 것은 약 한 달 전이다. 당시 크립토월 4.0은 기존의 랜섬웨어와 달리 파일 뿐 아니라 파일명까지 암호화하고 보다 진화되고 교묘한 협박 메시지를 발송한다는 점에서 충격을 준 바 있다. 11월 초 본지가 보도한 해당 내용의 기사는 여기를 누르면 연결된다.
그런데 이 크립토월 4.0이 계속해서 진화하여 유포되고 있다는 것. 헤임달사에 따르면 이들은 포니(Pony)라는 정보 도난 도구와 앵글러 익스플로잇 킷 등 다양한 방법을 통해 사용자들에게 접근하고 있다.
포니를 통해 공격당한 사례를 보면, 일단 타깃의 시스템에 있는 사용자명과 암호를 모두 탈취한 뒤 이를 공격자의 C&C(Command-And-Control) 서버로 전송한 것으로 파악됐다. 헤임달 연구원들은 공격자들이 작정하고 콘텐츠 관리자 시스템 정보나 로그인 정보 등과 같은 민감한 정보를 노렸다고 설명했다. 이를 통해 새로운 사이트들에 악성 스크립트를 삽입할 수 있었다는 것.
게다가 그렇게 라다이렉트된 다른 사이트들에서는 앵글러 익스플로잇으로 활동하여 해당 시스템에 있는 취약점에 대한 정보까지 모두 탈취했다.
지난 24시간 동안에만 이렇게 진화된 크립토월 4.0에 의해 공격당하고 악용된 새로운 도메인 수가 200개가 넘는다고 헤임달사는 밝혔다. 그만큼 확산 속도도 빠르다는 것. 여기서 이미 멀웨어에 감염된 사이트는 100개가 넘는다고 설명했다. 또한 이 같은 크립토월 4.0의 호스트가 우크라이나(Ukraine)에 있는 것으로 파악됐다고 덧붙였다.
출처: 보안뉴스 http://www.boannews.com/media/view.asp?idx=48765&kind=4
'etc' 카테고리의 다른 글
| 구형 익스플로러 지원 중단, 문제 없을까 (0) | 2015.12.30 |
|---|---|
| 지능화로 날개 단 테슬라 랜섬웨어 집중포화 外 (0) | 2015.12.30 |
| 대규모 디도스 공격 준비되나? 국내 웹사이트 '빨간불' (0) | 2015.12.21 |
| 일본쪽에서 퍼지고 있는 신형 랜섬웨어 통칭 [vvv] 주의보! (0) | 2015.12.08 |
| 시스템 관리자가 저지르는 어리석은 보안 실수 10가지 (0) | 2015.12.07 |
댓글