최근 국내 기업을 대상으로 한 귀신(Gwisin) 랜섬웨어 피해가 증가하고 있다. 이 랜섬웨어는 특정 기업을 타깃으로 제작되어 유포되고 있으며, 매그니베르(Magniber)와 동일하게 MSI 설치 파일 형태로 동작한다고 안랩 ASEC이 공개했다. 

공개된 내용에 따르면, 불특정 다수를 대상으로 유포되는 매그니베르와 달리 귀신 랜섬웨어는 파일 단독 실행 만으로는 행위가 발현되지 않고, 특별한 실행 인자 값이 필요하다. 이러한 인자 값은 MSI 내부에 포함된 DLL 파일의 구동에 필요한 키 정보로 활용된다.

이러한 동작 방식의 특징으로 인해 다양한 샌드박스 환경의 보안 제품에서는 파일 실행만으로 랜섬웨어 행위가 발생하지 않음으로 탐지가 어려울 수 있다. 또한, 내부 DLL 파일은 윈도우 정상 프로세스에 인젝션하여 동작하고 있으며, 대상 프로세스는 피해 고객사마다 다른 특징을 갖는다.

현재까지 파악된 Gwisin 랜섬웨어 동작 방식의 특징은 다음과 같다. 

△MSI 설치 파일 형태로 유포
△MSI 실행 시 사용한 인자 값을 통해 내부 DLL 구동에 사용
△윈도우 시스템 프로세스에 인젝션하여 랜섬웨어 행위
△DLL 내부에 감염 대상 기업 정보 존재 (랜섬노트에 표시)

귀신 랜섬웨어는 파일을 암호화한 이후 확장자를 변경하는데 확장자는 대상 기업의 이름을 따온 것이 특징이다.

암호화 대상 폴더에는 랜섬노트를 생성하는데 랜섬노트 텍스트 파일의 이름도 “!!!_HOW_TO_UNLOCK_******_FILES_!!!.TXT” 처럼 확장자 문자열이 포함되어 있다. 랜섬노트에는 기업 내에서 탈취한 정보들의 목록과 함께 연락처가 존재한다.

피해 사례를 보면, 랜섬웨어 감염 전에 사용 중인 백신 프로그램이 무력화된 것을 알 수 있다. 

안랩 ASEC 측은 “V3 제품에서는 이러한 동작 방식의 Gwisin 랜섬웨어를 행위 기반 탐지를 통해 인젝션 단계에서 사전 차단하고 있음으로 ‘행위 기반 진단 사용’ 옵션을 활성화하는 것이 필요하다”고 말한다. 

또 “Gwisin 랜섬웨어 감염은 사전에 내부 시스템에 대한 장악이 완료된 상태에서 다수 시스템에 대한 랜섬웨어 설치 및 실행이 진행되고 있음으로 어떻게 내부 시스템에 대한 장악과 전파가 진행 되었는지를 분석하는 작업이 반드시 필요하다. 피해 발생 후에 이러한 작업을 통해 원인 분석이 진행되지 못하면, 또 다른 종료의 랜섬웨어로 교체되어 유사한 피해가 재 발생할 수 있다”고 경고했다. 

★정보보안 대표 미디어 데일리시큐!★