루마니아 경찰 CTB Locker(CTB 랜섬웨어)과 Cerber Ransomware(Cerber 랜섬웨어) 랜섬웨어 확산한 5 명 체포

꿈을꾸는 파랑새

지난 2017년12월28일에 전 세계적으로 유럽과 미국에 수만 대의 컴퓨터를 감염을 시키고 비트코인을 요구했던 랜섬웨어 제작자들이 검거가 되었다는 소식입니다. 유로 폴(Europol)은 루마니아, 네덜란드, FBI 및 법 집행 기관이 동루마니아의 6개 집을 수색하고 5명을 체포했다고 합니다. 해당 검거작적에서는 상당량의 하드 드라이브, 외부 저장 장치, 랩톱, 암호 해독 광업 장치, 수많은 문서 및 수백 개의 SIM 카드를 압류했다고 합니다. 다만, 5명의 용의자 모두가 악명 높은 ransomware 을 개발하거나 유지하는 것으로 체포된 것이 아니라 CTB Locker와 Cerber를 전염시켰다는 점입니다. 아마도 중간책인 것 같습니다. 일단 CERBER 랜섬웨어 경로는 주로 스팸 메일을 통해서 감염이 이루어지며 온라인 결제 서비스 제공자로부터 전송된 신용카드 한도 초과액의 이메일로 위장하고 있다는 것을 특징이면 그리고 사용자에게는 통장 계좌를 확인하라는 메시지가 표시됩니다. 그리고 컴퓨터를 감염시키기 위해서 기본적으로 두 가지 방법을 사용하고 있습니다. 기본적으로 스팸메일을 통해서 사용자가 첨부파일을 열게 하고 해당 첨부 파일을 실행시키는 순간 감염이 되는 경우, 그리고 해당 Word에 첨부된 파일은 잘못된 매크로가 포함돼 있으면 매크로를 사용하여 랜섬웨어를 다운로드 하고 실행을 하도록 구성이 돼 있으며 CERBER 랜섬웨어는 익스플로잇 키드도 활용을 하고 있습니다.
예를들면 Rig Exploit KitRig EK),Neutrino Exploit Kit(Neutrino EK),Magnitude Exploit Kit(Magnitude EK을 이용하여 랜섬웨어가 확산을 하고 있습니다. 그리고 해당 악성코드인 CERBER은 이동식 하드디스크, 이동식 드라이버 등에 있는 파일도 암호화하고 컴퓨터에 있는 공유 네트워크 폴더의 파일도 암호화하고 그리고 RAM(램) 디스크에 있는 파일도 암호화해버립니다.
그리고 해당 랜섬웨어인 CERBER는 안정적으로 암호화하기 위해서 기본적으로 데이터베이스 소프트웨어를 먼저 중지시키며 의료관리데이터베이스 소프트웨어 관련 파일도 포함됩니다. Microsoft Access, Alpha Five, Ability Database, Advantage Database Server, Progress Database, Backup copy, Microsoft Works, Braise Database, SQLite 3 File, Comma-separated Value, Clarion, MSQLite Database,ANSYS,Arcview,dBASE IV,dBFast,iRiver Plus3,Ruby SQL File등을 파일을 암호화합니다. 그리고 해당 랜섬웨어를 예방하는 방법은 앞서 적은 부분과 그리고 3개 이상의 복사본, 2가지 이상의 기기(하드디스크, USB 메모리), 백업 파일은 다른 위치에 저장하고 반드시 백신프로그램,윈도우 업데이트는 반드시 해야 합니다.
그리고 최근까지 전 세계적으로 CERBER 작성자는 해당 랜섬웨어를 이용을 하는 사람들 즉 악의적인 목적이 있는 사람들에게 판매를 통해서 이용하는 회원? 들에 이용료로 40%의 수수료를 챙기고 있으며 2016년7월 동안 20만 달러를 이익을 챙겼다고 합니다.

즉 악성도구를 판매하고 돈을 벌고 랜섬웨어에 감염이 된 사람들에게서도 돈을 버는 셈이 됩니다. 그리고 CERBER 뿐만 아니라 SURPRISE,PowerWare,Emper등의 랜섬웨어(ランサムウェア)의 암호화 대상 파일은 dBASE(dbf),Microsoft Access(확장자 accdb),Ability Database(확장자 mdb)Apache OpenOffice(확장자 odb)등이 포함이 되어져 있고 기업이나 병원 같은 곳에서 피해가 발생을 하며 랜섬웨어를 풀러 주는 댓가인 몸값을 지급하는 금액도 커지고 됩니다. 이번에 발견이 된 CERBER 4.1.0.1.4,CERBER 4.1.5 버전은 CERBER 4.1.0 이전 버전과 마찬가지로 특정 언어로 구성된 기기 또는 컴퓨터 환경은 감염을 시키지 않고 있습니다. 즉 Windows API 함수 GetKeyboardLayoutList을 이용해서 설정 언어를 확인하고 특정 언어가 발견되면 해당 랜섬웨어는 활동을 종료하게 돼 있습니다.
러시아 어(ロシア語), 우크라이나 어(ウクライナ語), 벨라루스 어(ベラルーシ語), 타지크어(タジク語), 아르메니아 어(アルメニア語), 아제르바이잔어 라틴문자(アゼリー語ラテン文字), 그루지야 어(グルジア語), 카자흐 어(カザフ語), 키르기스스탄 키릴어(キルギス語キリル文字), 투르크멘 어(トルクメン語), 우즈베크어(ウズベク語ラテン文字), 타타르어(タタール語), 루마니아 계 몰도바 어(ルーマニア語系モルドバ語), 러시아 어 계 몰도바 어(ロシア語系モルドバ語), 아제르바이잔어 키릴어(アゼリー語キリル文字), 우즈베크어 키릴 문자(ウズベク語キリル文字 )입니다. 이 공통점을 보면 쉽게 눈에 들어올 것입니다. 예 동유럽 국가인 것을 파악할 수가 있습니다. 그리고 2016년3월부터는 미국(米国), 대만(台湾), 독일(ドイツ), 일본(日本), 호주(オーストラリア), 중국(中国), 한국(韓国), 프랑스(フランス), 이탈리아(イタリア), 캐나다(カナダ)에 발견이 되고 있습니다.
일단 다시 돌아와서 CryptoLocker를 기반으로 CTB Locker,일명 Critroni는 2016년에 가장 많이 감염이 된 ransomware이며 Tor 익명화 네트워크를 사용하는 명령 및 제어 서버를 숨길 수 있는 최초의 중개 장치였으며. 그리고 Cerber ransomware 는 2016년 3월에 출현하여 광범위한 배포가 가능하도록 도와주는 ransomware-as-a-service (RaaS) 모델에서 작동하여 해커가 유료로 각 악성 코드의 40%를 훔칠 수 했습니다. 그리고 CTB Locker는 범죄자가 몸값으로 2천7백만 달러를 벌어들였고 Cerber는 Google 이 2017년 7월에 690만 달러를 벌어들이는 데 도움이 되는 가장 범죄적인 수익을 올리는 중매 브랜드로 선정되었다고 합니다. CTB-Locker 패키지는 아래에 설명된 다양한 파일을 사용합니다. 해당 CTB-Locker는 다음과 같은 행동을 합니다.

index.php : 웹 사이트용 CTB-Locker의 주요 구성 요소이며 결제 페이지뿐 아니라 암호화 및 복호화 루틴을 포함합니다.
allenc.txt : 모든 암호화 된 파일의 목록을 포함합니다.
test.txt : 무료로 해독할 수 있는 두 개의 미리 선택된 파일에 대한 경로와 파일 이름이 들어 있습니다.
victims.txt : 암호화할 모든 파일의 목록을 포함하지만 이미 암호화된 파일은 이 목록에 남아 있습니다.
extensions.txt - 암호화해야 하는 파일 확장명 목록입니다.
secret_ [site_specific_string] : 자유 암호 해독 및 채팅 기능에서 사용하는 비밀 파일이며 index.php 파일과 같은 폴더에 있습니다.
명령 및 제어 서버 위치: 웹 사이트용 CTB-Locker를 발견 한 보안 연구원 Benkow Wokned ( @benkow_ )에 따르면 index.php 페이지는 jQuery.post () 함수를 사용하여 Ransomware의 명령 및 제어 (C & C) 서버와 통신하고 POST 데이터를 전달합니다.
현재 연구원이 밝힌 CTB-Locker for Websites에는 세 가지 명령 및 제어 서버가 있습니다.
http://erdeni.ru/access.php
http://studiogreystar.com/access.php
http://a1hose.com/access.php
또한 ransomware는 웹 사이트 관리자가 파일을 복구할 수 있는 시간대를 제공 시작을 합니다. 그러나 BTC를 제시간에 지급하지 않으면 몸값이 BTC의 2 배가됩니다. 또한, 그리고 대부분의 랜섬웨어와 마찬가지로 CTB Locker 및 Cerber 배포자는 피싱 전자 메일 등과 그리고 출처가 불분명한 경로 예를 들면 토렌트들과 같은 가장 일반적인 공격 경로를 사용하고 있었습니다. 그리고 수사 당국은 체포된 사람들의 실제 신원을 아직 공개하지 않았지만, 유로 폴 (Europol)은 용의자들의 거주지를 어떻게 급습해서 범인들을 검거했는지 볼 수 있는 체포 영상을 일부 공개를 했습니다. 보시면 가상화폐를 채굴하기 위해서 노동자들의 인권? 을 무시한 가상화폐채굴 현장도 볼 수도 있습니다. 일단 나쁜 짓을 하면 반드시 언제 가는 검거가 된다는 것입니다. 시간이 지나면 해당 랜섬웨어들을 제작을 한 사람들을 검거할 수가 있지 않을까 생각이 됩니다.


이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.