늘 새로운 기법 들고 나타나는 랜섬웨어 집단...콘티의 희미한 향기가 느껴져
요약 : 보안 외신 핵리드에 의하면 새로운 로얄(Royal)이라고 불리는 새로운 랜섬웨어가 등장했다고 한다. MS는 로얄을 운영하는 공격 단체에 DEV-0569라는 이름을 붙였는데, 이들은 멀버타이징, 가짜 포럼 페이지, 블로그 댓글란 등을 이용해 자신들의 공격 도구를 피해자의 시스템에 심는다고 한다. 또한 팀뷰어(TeamViewer)나 줌(Zoom)설치파일로 위장하여 멀웨어를 유포하기도 한다. 이렇게 해서 주로 뱃로더(BatLoader)라는 멀웨어가 퍼지고, 뱃로더를 통해 로얄 랜섬웨어가 설치된다.
배경 : DEV-라는 이름은 공격자의 정체가 다 파악이 되지 않았을 때 ‘아직 조사 중에 있다’는 뜻으로 붙여진다. 즉 로얄 랜섬웨어의 배후에 누가 있는지 아직 MS가 조사를 완료하지 않았다는 것이다. 하지만 현재까지 조사된 바에 의하면 악명 높은 랜섬웨어 집단인 콘티(Conti)가 배후에 있을 가능성이 높다고 한다.
말말말 : “DEV-0569의 중요한 특징 중 하나는 공격 전략과 기법을 계속해서 바꾼다는 겁니다. 지금은 멀버타이징과 가짜 소프트웨어 설치파일이 눈에 띄지만 앞으로 또 어떤 방식을 들고 나타날지 예측하기 힘듭니다.” -MS-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>