|
소디노키비, 지난해 최다 유포…헌법재판소·공정위까지 사칭
보안 전문업체 이스트시큐리티에 따르면 지난해 5월 `헌법 재판소 전화`, `헌법 재판소 청문 의제` 등의 제목으로 헌법 재판소를 사칭한 피싱 메일이 유포됐다. 해당 메일은 소디노키비를 감염자 PC에 다운로드하고 실행시키며, 리플라이 오퍼레이터 그룹이 유포한 것으로 확인됐다.
소디노키비는 지난해 4월에 공개된 랜섬웨어로, 갠드크랩과 유사하게 이메일 첨부파일을 활용한 공격방식을 사용했다. 해킹 조직 리플라이 오퍼레이터 그룹은 `정리 해고 및 감면 목록`이라는 자극적인 제목과 더불어 이메일 주소가 스팸하우스 블랙리스트에 올라갔다는 내용의 피싱 메일을 마구 유포했다. 스팸하우스는 스팸과 피싱, 맬웨어, 봇넷 등 관련 사이버 위협을 추적하고 실시간으로 위협 및 평판 차단 목록을 제공하는 국제 비영리 단체다. NH농협은행 보안팀에서 보낸 메일이라고 사칭하기도 했다.
소디노키비는 부동산 관련 메일, 글로벌 물류회사까지 사칭하며 지난해 하반기 가장 많이 유포된 랜섬웨어로 조사됐다. 이스트시큐리티 시큐리티대응센터(ESRC)의 모니터링 분석 결과에 따르면 지난해 하반기 알약을 통해 차단된 랜섬웨어 공격은 총 43만6612건으로 집계됐다. 소디노키비는 지난해 3분기에 이어 4분기에도 가장 많이 유포된 랜섬웨어로 확인됐다. 특히 ESRC는 소디노키비 등의 악성메일 유포 방식 등을 분석한 결과 한국에 집중 유포되는 랜섬웨어의 배후에는 비너스락커(VenusLocker) 조직이 있는 것으로 확신했다. 해당 조직은 서비스형 랜섬웨어(RaaS)를 활용해 추적을 회피하고 있다.
|
넴티는 기업의 공개된 그룹 메일 주소에 입사지원서, 공문 등으로 위장해 네이버·한메일 등 사용자들에게 친숙한 도메인의 피싱 메일을 통해 유포됐다. 지난해 8월 말부터 새롭게 등장해 9월부터 급증했으며, 4분기에도 소디노키비와 함께 알야을 통해 많이 차단된 랜섬웨어 중 하나로 꼽혔다.
지난해 10월 넴티에 감염된 PC를 무료로 파일을 복호화할 수 있는 툴이 공개되자, 같은 달 비너스락커 조직이 경력직 입사지원서로 위장한 2.0 버전의 넴티를 대량 유포한 정황이 확인됐다. 유포된 메일은 대부분 지원자 이름을 메일 제목으로 위장했으며, 해당 메일을 받은 채용담당자나 관련자가 메일을 열어 첨부파일을 실행하면 바탕화면에는 넴티 2.0 버전에 감염됐음을 알리는 랜섬노트가 뜨게 된다.