테크레시피

“초보자도 다루는 저렴한 랜섬웨어 다크웹서 대량 유통중”

랜섬웨어를 이용한 사이버 공격 뉴스에선 국가 지원을 받은 범죄 단체 등 높은 수준 전문성을 가진 자에 의한 범행이 자주 보도된다. 하지만 보안 기업 소포스(Sophos) 조사에 따르면 초보자도 다룰 수 있는 저렴한 랜섬웨어가 대량으로 유통되고 있는 것으로 드러났다.

랜섬웨어 공격에는 랜섬웨어 개발자가 직접 공격을 수행하는 유형과 다른 개발자로부터 랜섬웨어를 구매해 공격을 수행하는 유형이 있다. 랜섬웨어 판매 형태는 다양하지만 최근에는 랜섬웨어 공격으로 얻은 몸값 일부를 수수료로 지불하는 RaaS(Ransomware as a Service Explained)라는 판매 형태가 확산되고 있다.

하지만 소포스가 기술 수준이 낮은 범죄 단체가 모이는 다크웹 포럼을 조사한 결과 저숙련 범죄 단체 대부분이 1회성 저렴한 랜섬웨어를 구매하고 있는 것으로 밝혀졌다. 이런 저렴한 랜섬웨어 중에는 결함이 포함되어 있거나 공격자 본인에게 피해를 입히는 백도어가 심어져 있는 경우도 있다고 한다. 이에 소포스는 저숙련 범죄 단체가 구매하는 이런 저렴하고 저품질 랜섬웨어를 저렴하고 조잡한 총기에 빗대어 정크건 랜섬웨어(Junk gun ransomware)라고 부르고 있다.

소포스는 2023년 6월부터 2024년 2월까지 4개 포럼에서 19종류에 이르는 정크건 랜섬웨어를 발견했다. 그 중에는 오픈소스로 개발된 무료 버전이나 수십 달러짜리 저렴한 것도 포함되어 있었다.

소포스에 따르면 유명 랜섬웨어는 세련된 로고와 인터페이스를 사용하는 반면 정크건 랜섬웨어는 조잡하고 아마추어 같은 로고와 인터페이스를 사용하고 있다고 한다.

또 소포스에 따르면 유명 랜섬웨어는 러스트(Rust)나 고(Go) 등으로 개발 언어를 전환하고 있는 추세라고 한다. 소포스는 정크건 랜섬웨어는 C#이나 .NET 등 비교적 배우기 쉬운 언어로 개발되고 있다고 지적하며 이를 통해 정크건 랜섬웨어가 경험이 비교적 얕은 프로그래머에 의해 개발되고 있다고 추측하고 있다. 관련 내용은 이곳에서 확인할 수 있다.

NameDate postedStatusPriceLanguageUsed in attacksDetectionFeatures
CatLogsDecember 2023For saleUnknown.NETUnknownUnknownStealer, RAT, ransomware, clipper, keylogger
Unnamed console appNovember 2023In developmentN/AC#N/ADefender, 2/70 VTLoops over desktop, documents, pictures, music, videos
Custom RaaSJuly 2023For sale$200UnknownUnknownUnknownRSA 2048/4096, anti-VM and debugger, UAC bypass, random extensions
DiabloJanuary 2024For sale$50 per monthUnknownUnknownDefenderAES, threaded, external drives, offline mode, Defender bypass, persistence
Evil ExtractorDecember 2023For sale$99 – $199 per monthUnknownYesUnknownStealer, RAT, ransomware, FTP server, crypter, persistence, self-destruct, anti-VM
HardShieldSeptember 2023Open sourceFreeC++UnknownUnknownCBC AES128+RSA 2048, delete shadow copies, threaded, self-deletion
JigsawJune 2023For sale$500.NETUnknownMultipleOffline encryption, AES-RSA, threaded
KryptinaDecember 2023For sale$20 for single build / $800 for source code / freeCUnknownUnknownTargets Linux, threaded, offline, AES-256 CBC
LolicryptAugust 2023For sale$1000UnknownYesUnknownIntermittent encryption, chacha20, cross-platform
LoniJuly 2023For sale$999 per month / $9999 lifetimeCUnknownUnknownRemote, delete shadow copies, self-destruct, XTEA, intermittent encryption
NevermoreOctober 2023For sale$250C#UnknownDefenderAES-256, threaded, stealer, unique payloads,
RansomTugaJune 2023Open sourceFreeC++UnknownMultipleStealer
YasmhaFebruary 2024For sale$500C#UnknownMultipleN/A
ErgonSeptember 2023For sale0.5 BTC per compile, 2.5 BTC for source codeUnknownYesUnknownCustom builds, support, RaaS model
Unnamed ransomwareSeptember 2023In developmentN/AGoN/AUnknownSalsa20 encryption
Unnamed ransomwareJuly 2023For sale$1000C++UnknownUnknownThreaded, delete shadow copies, self-delete, partial and full encryption
Unnamed ransomwareJanuary 2024For sale$60UnknownUnknownUnknownCustomer provides RSA keys, ransom note, desktop background, etc
Unnamed ransomwareFebruary 2024For sale$50PythonUnknownUnknownUnknown
Unnamed ransomwareJune 2023For sale$500UnknownUnknownUnknownNo decryption key

정용환 기자

대기업을 다니다 기술에 눈을 떠 글쟁이로 전향한 빵덕후. 새로운 기술과 스타트업을 만나는 즐거움을 독자들과 함께 나누고 싶습니다.

뉴스레터 구독