안녕하세요. ESRC(시큐리티 대응센터)입니다.

얼마 전 ESRC는 Makop 랜섬웨어를 유포하는 비너스락커 조직에 대해 경고한 적이 있습니다. 

▶ 비너스락커 조직, 지원서 사칭 이메일을 통해 Makop 랜섬웨어 대량 유포중!!

비너스락커 조직은 2017년도부터 현재까지 국내에 랜섬웨어를 대량으로 유포하는 조직으로, 유포하는 랜섬웨어는 주기적으로 달라집니다. 얼마 전 까지 이 조직은 국내에 Nemty 랜섬웨어를 유포하였지만, 최근부터는 Nemty랜섬웨어가 아닌 Makop 랜섬웨어를 유포하고 있습니다. 뿐만 아니라, 백신 및 보안장비의 탐지를 우회하기 위하여 유포방식의 변화를 주고 있습니다. 

[그림 1] 이력서를 위장하고 있는 악성 메일

이번에 발견된 이력서 사칭 악성 메일 역시 국내 대형 포털 이메일 사용, 이메일 본문에 마침표 생략 등의 특징으로 보았을 때 비너스락커 조직이 유포하는 것으로 추정됩니다. 

그러나 특이한 점은, zip 파일 안에 또 하나의 zip 파일이 포함되어 있는 이중압축 형태를 사용한다는 점입니다. 

이러한 방식은 흔하지 않은 방식으로, 비너스락커 조직이 공격방식의 변화를 주고 있다는 것으로 볼 수도 있습니다 .

[그림 2] 한글 파일을 위장하고 있는 exe 파일

이중압축 안에는 한글 파일을 위장한 .exe 파일들이 포함되어 있으며, 사용자가 해당 파일들을 실행할 경우 Makop 랜섬웨어에 감염되게 됩니다. 

[그림 3] Makop랜섬웨어 감염 화면

이번에 발견된 Makop 랜섬웨어는 이전의 .pdf 파일이 아닌 .hwp 파일의 아이콘을 위장하고 있으며, 복호화 메일이 기존의 helpdesk_makp@protonmail.ch에서 akzhq@cock.li 또는 akzhq@protonmail.com으로 변경되었습니다. 

현재 알약에서는 해당 랜섬웨어에 대하여 Trojan.Ransom.Makop으로 탐지중에 있으며, 지속적인 모니터링 중에 있습니다.