AI를 이용한 사이버 보안 서비스를 제공하는 클라우드SEK(CloudSEK)가 가난한 사람에게 기부를 강요하는 랜섬웨어 굿윌(GoodWill) 존재를 지적하고 있다.
클라우드SEK 연구팀이 굿윌이라는 랜섬웨어 분석을 진행하고 있다. 연구팀에 따르면 감염된 PC 데이터를 암호화하고 읽을 수 없게 하는 랜섬웨어는 보통 돈과 교환해 데이터를 복호화하기 위한 키를 배포한다. 하지만 굿윌을 사용해 공격을 걸면 피해자에게 불행한 사람에게 기부하라고 말한다.
클라우드SEK 연구팀이 처음으로 굿윌을 검출한 건 2022년 3월이다. 굿윌을 이용해 랜섬웨어를 뿌리는 해커 집단은 금전 목적이 아니라 사회 정의를 위해 공격을 한 것으로 보인다. 클라우드SEK에 따르면 굿윌의 특징을 보면 먼저 닷넷(.NET)으로 작성되고 UPX로 패킹되어 있다는 것. 악성코드 동적 분석을 방해하기 위해 722.45초 동작을 잠근다. 또 AES_Encrypt 함수를 이용해 AES 알고리즘을 사용해 데이터를 암호화한다. 감염된 장치 지리적 위치를 검출하려는 문자열(GetCurrentCityAsync)을 포함하고 있다.
굿윌에 감염된 PC는 문서와 사진, 동영상, 데이터베이스, 기타 중요한 파일이 암호화되어 복호화 키가 아니면 이런 데이터에 액세스할 수 없다. 그런 다음 공격자는 피해자에게 해독키 대신 3가지 사회 정의 활동을 요구한다.
첫째는 노숙자에게 새로운 옷을 기부해 이를 기록, 소셜미디어에 올리라는 것. 또 사진과 동영상으로 촬영해 소셜미디어에 게시해야 한다. 마지막으로 긴급 의료를 필요로 하지만 이를 실시할 정도 경제적 여유가 없는 사람에게 재정적 지원을 제공하고 음성을 녹음해 공유하는 것이다.
공격자는 3가지 사회 활동이 끝난 뒤 페이스북이나 인스타그램에 굿윌이라는 랜섬웨어 피해자가 되어 자신이 얼마나 친절한 인간이 됐는지 쓰라고 요청받았다고 한다. 덧붙여 알려진 굿윌 피해자는 존재하지 않기 때문에 공격자 측 전술, 기술, 공격 순서에는 불명확한 게 많다는 설명이다.
피해자가 3가지 사회 활동을 완료했다고 보고하면 공격자는 피해자가 소셜미디어에 게시한 걸 확인한다. 사회 활동 확인이 끝난 뒤 공격자는 복호화 툴과 암호 파일, 중요한 파일을 복원하는 방법에 대한 영상 튜토리얼을 포함한 복호화 키트를 제공한다고 한다.
또 클라우드SEK 연구팀은 공격자가 제공한 이메일 주소가 엔드투엔드 관리 보안 서비스를 제공하는 인도 IT 보안 솔루션 기업이라는 걸 확인했다. 또 굿윌에는 1,246개 문자열이 포함되어 있으며 이 중 91개 문자열은 특정 랜섬웨어(HiddenTear)에 포함된 문자열이었다고 한다. 이 랜섬웨어는 터키인 프로그래머가 만든 오픈소스 랜섬웨어로 개념 실증은 깃허브에 공개되어 있다. 따라서 클라우드SEK는 굿윌 운영자가 깃허브에서 다운로드받아 필요한 변경을 해 새로운 랜섬웨어를 만들었을 가능성이 있다고 지적하고 있다. 그 밖에 공격자는 IP 주소 2개(3.109.48.136과 13.235.50.147)를 사용하고 있으며 이는 인도 뭄바이 것이라는 걸 밝혀냈다.
클라우드SEK 측은 굿윌 영향으로 상관행이나 지적 재산 같은 기밀 정보 유출, 회사 데이터가 일시적 혹은 경우에 따라 영구적으로 손실될 가능성, 데이터 수리 작업 관련 경제적 손실 발생, 회사 평판에 상처를 받을 가능성, 계정 탈취 가능성, 공격자가 개인 정보 소셜 엔지니어링이나 개인 정보 도용을 조합해 사용할 가능성 등을 들고 있다. 관련 내용은 이곳에서 확인할 수 있다.