Breaking
사이버 보안(Cybersecurity)
크라켄 크립토 랜섬웨어, 딥웹서 재등장…"어떻게 발전할지 감시해야"
2019-05-28 23:56:50
유수연
▲크라켄 크립토 랜섬웨어가 딥웹에 다시 등장했다(사진=ⓒ123RF)

[라이헨바흐=유수연 기자] 딥웹에 크라켄 크립토(Kraken Cryptor) 랜섬웨어가 다시 등장해 우려의 목소리가 커지고 있다.

딥웹은 수많은 숨겨진 사이트와 여러 버그가 존재하는 곳이다. 크라켄 크립토 랜섬웨어는 폴아웃 익스플로잇 키트에서 발견됐다. 이는 서비스형 랜섬웨어(RaaS) 갱단이 아직 살아 있으며 이에 따라 위험이 몇 배로 증가한다는 뜻이다.

크라켄 개발자들은 이 랜섬웨어를 사람들을 유인하기 위한 안전장치로 위장했다. 해당 랜섬웨어는 슈퍼 안티 스파이웨어로 위장했으며 작년 8월 중순 딥웹 토론 게시판에서 발견됐고 9월에 재등장했다.

▲크라켄이 폴아웃에 포함된 것은 대단히 중요한 사실이다(사진=ⓒ123RF)

이에 맥아피(McAfee)의 고급 위협 연구원들은 리코디드 퓨처의 연구진과 함께 조사를 실시했다. 그 결과 크라켄 크립토는 주목할 만한 개발 경로를 보였다. 이 랜섬웨어는 슈퍼 안티 스파이웨어로 위장해 피해자들의 컴퓨터에 침투했고 컴퓨터를 감염시켰다. 컴퓨터가 일단 감염되고 나면 피해자는 제대로 된 스파이웨어 방지 소프트웨어를 설치할 수 없었다.

작년 9월 말 사이버 보안 연구원들은 폴아웃 익스플로잇 키트에 번들로 제공되는 '그랜드크랩(Gandcrab)' 랜섬웨어를 발견했다. 이들은 또한 크라켄 크립토 제작자들이 폴아웃 제작자들에게 연락해 해당 악성코드에 크라켄을 추가해달라고 요청했다는 사실을 알아냈다.

크라켄·폴아웃 파트너십, 새로운 힘 발휘할 기반 마련

리코디드 퓨처의 안드레이 바리사비치는 "크라켄이 놀라운 이유는 이것이 복잡한 옵션과 기능을 포함한 대안이라는 것"이라며 "예를 들어 채팅 및 기타 정보를 암호 해독할 수 있다"고 말했다.

그는 또한 크라켄 제작자들이 기본에 머물러 있다고 덧붙였다. 이 랜섬웨어는 감염 경로로 전자 메일을 사용한다. 그 결과 크라켄과 관련된 문제는 쉽게 해결할 수 있다.

바리사비치는 "이 랜섬웨어는 매우 간단해 법 집행 기관이나 보안 연구원이 다루기 쉽다"고 설명했다.

그래서 크라켄이 폴아웃에 포함됐다는 것은 엄청나게 중요한 사실이다. 잠재적으로 노출된 피해자들을 생각하면 더욱 그렇다. 이 공격 키트는 여러 팀이 수행하는 조정된 캠페인을 통해 퍼진다. 그리고 이런 캠페인은 크라켄이 목표물을 설정하는 데 도움이 된다.

돌아온 크라켄

크라켄-폴아웃이 등장했다는 사실은 러시아의 발표로 알려졌다. 이것은 암호화 알고리즘의 하이브리드 집계를 사용하고 전적으로 자립할 수 있으며 가젯 지식을 참조용 암호화 메시지로 수집하고 회복을 불가능하게 만드는 등의 세부적인 옵션을 갖고 있다.

맥아피의 사이버 조사 책임자 존 포커는 "초기에 딥웹에서 크라켄은 아직 비즈니스 모델을 파악하고 있는 중인 것으로 보였으나 다른 주요 사이버 범죄 서비스와 제휴했다"고 말했다.

포커는 RaaS의 향후 캠페인으로 크라켄을 고려하고 있다. 사용자들은 15일마다 크라켄을 새로 구성해 보안 시스템에 들키지 않도록 만든다.

 

몸값 지불하면 해독 키 발송

작년 10월에 크라켄 모델의 두 번째 버전이 출시됐다. 공격자들은 랜섬웨어에 감염된 장치가 어떻게 되는지, 그리고 랜섬웨어가 얼마나 치명적인지 보여주기 위해 동영상도 제작했다.

이 랜섬웨어는 피해자의 기기를 암호화할 뿐만 아니라 S딜리트(SDelete) 같은 외장 장치를 사용해 정보를 삭제하고 복원을 더욱 어렵게 만든다.

포커는 "크라켄에 사용된 프로그래밍 언어와 암호화 체계를 보면, 이것은 더 크고 잘 알려진 랜섬웨어 제품군과 다르다"며 이것이 국제적인 위치에 있지는 않다고 말했다.

 

크라켄의 배후

연구진은 아직 크라켄의 배후가 누구인지 정확히 지적할 수는 없지만 적어도 제작자가 영어 및 러시아어를 모국어로 사용하는 사람은 아니라고 말했다. 포커는 토론 게시판에 올라온 러시아어 설명이 마치 자동 번역기를 사용한 것처럼 부자연스러웠다고 말했다.

또 영어 사용에서도 일관적인 문법 실수가 보였다. 즉 크라켄의 배후에 있는 사람은 영어나 러시아어를 모국어로 사용하는 사람은 아니다.

연구진은 크라켄에 연결된 사람이 유료 토론 게시판 계정을 사용하고 있음을 발견했다. 딥웹에서는 매우 이상한 일이다. 물론 딥웹에서 유료 계정을 사용하는 것이 이상한 것은 아니다. 그러나 랜섬웨어와 같은 제품을 퍼뜨리는 사람들은 대부분 고정적이지 않은 계정을 사용한다.

기업들은 이제 사이버 범죄를 예방하기 위해 상당한 수준의 사이버 보안 관련 지식을 습득하고 전체 직원들을 교육해 안전 의식을 장려해야 한다. 그리고 사이버 보안 장치를 매번 새로운 수준으로 업데이트해야 한다.

포커는 "대규모 기업들이 앞으로 더욱 광범위한 위협을 만날 우려가 있다"며 "크라켄이 앞으로 어떻게 발전할지 감시해야 한다"고 말했다. 

이어 "RaaS가 계속 성장한다면 시장에 새로운 범죄자들이 등장해 더 많은 수익을 올릴 것"이라고 덧붙였다.

[라이헨바흐=유수연 기자]