저작권 위반 메일 사칭한 LockBit 랜섬웨어 사례

작년 이맘때쯤 "저작권 사칭 메일로 위장한 랜섬웨어"라는 글을 쓴 적이 있었는데요. 저작권을 침해했다고 메일이 와 화들짝 놀라서 열어봤더니 Makop이라는 랜섬웨어였다..라는 내용이였죠. 랜섬웨어의 동작 방식과 보안 솔루션을 우회하기 위한 내용들도 이해하기 쉽도록 깊지 않은 선에서 다뤘었습니다. 그런데 올해도 저작권을 위반했다는 피싱 메일이 유행이라고 하네요. 기존에 썼던 내용과 비슷하지만 록빗(LockBit)이라는 랜섬웨어가 포함되어 있었고, 사용자가 쉽게 속을 수 있게 더 정교해졌다고 하는데 오늘은 이 부분에 대해 말씀드리도록 하겠습니다.

​

랜섬웨어가 어떤 녀석인지는 하도 많이 들어서 이제는 식상하리라고 생각되지만, 그래도 간단하게만 이야기하고 넘어가겠습니다. 랜섬웨어에 감염되면 사용자 시스템에 있는 jpg, hwp, doc와 같은 특정 확장자를 가진 파일들이 모두 암호화되어 열 수 없게 된다는 건 모두 아실겁니다. 그리고 바탕화면에 랜섬노트라는 텍스트 파일이 만들어지고, 이를 열어보면 지갑 주소가 적혀있혀 있어서 비트코인을 보내면 복호화 키를 주겠다고 이야기하죠. 해커들이 계좌에 기록이 남아 쉽게 찾을 수 있는 돈과 달리, 추적이 어려운 비트코인을 선호한다는 정도만 아시면 될 것 같습니다.

​

이번 피싱 메일의 경우 기존 저작권 위반 사칭 메일과 내용 자체는 굉장히 유사하지만, 사람들이 모두 알만한 실제 작가의 이름을 넣음으로써 더 속기 쉽도록 만들었습니다. 또한 압축파일에 비밀번호를 포함해서 유포했다는 것이 기존과 다른 차이점인데요. 비밀번호가 걸려있지 않으면 해당 파일을 압축해제하여 악성 여부를 판단하는 보안 솔루션을 우회하기 위한 조치라고 생각하면 될 것 같습니다. 압축을 해제하면 아이콘 이미지가 PDF지만 실제는 EXE 실행파일이 나오는데, 윈도우에서 인스톨러를 구축할 수 있는 NSIS(Nullsoft Scriptable Install System) 스크립트 형태로 존재한다고 합니다.

 

저작권 위반 메일 사칭해 LockBit 랜섬웨어 유포중

 

NSIS 스크립트는 저도 처음 보는 언어이기 때문에 자세히 설명드리긴 어렵지만, 트렌드만 보면 보안 솔루션 우회와 같이 악성코드들이 안티바이러스가 탐지할 수 없는 새로운 형태의 버전으로 계속해서 진화하는 것을 볼 수 있죠. 보안 업체에서는 새로운 유형의 악성코드를 탐지하려고 계속해서 연구를 진행하고 있지만, 해커들이 새로운 유형의 악성코드를 만들어 내는 속도가 더 빠르기 때문에 사용자 입장에서 더 조심하셔야 할 것 같습니다. 평소와 다른 메일을 확인하시면 한 번쯤 더 의심하셔서 피해를 입지 않으셨으면 합니다. 그럼 이번 글을 여기서 마무리하죠. 감사합니다.