정용환 기자
랜섬웨어를 이용한 사이버 공격 뉴스에선 국가 지원을 받은 범죄 단체 등 높은 수준 전문성을 가진 자에 의한 범행이 자주 보도된다. 하지만 보안 기업 소포스(Sophos) 조사에 따르면 초보자도 다룰 수 있는 저렴한 랜섬웨어가 대량으로 유통되고 있는 것으로 드러났다.
랜섬웨어 공격에는 랜섬웨어 개발자가 직접 공격을 수행하는 유형과 다른 개발자로부터 랜섬웨어를 구매해 공격을 수행하는 유형이 있다. 랜섬웨어 판매 형태는 다양하지만 최근에는 랜섬웨어 공격으로 얻은 몸값 일부를 수수료로 지불하는 RaaS(Ransomware as a Service Explained)라는 판매 형태가 확산되고 있다.
하지만 소포스가 기술 수준이 낮은 범죄 단체가 모이는 다크웹 포럼을 조사한 결과 저숙련 범죄 단체 대부분이 1회성 저렴한 랜섬웨어를 구매하고 있는 것으로 밝혀졌다. 이런 저렴한 랜섬웨어 중에는 결함이 포함되어 있거나 공격자 본인에게 피해를 입히는 백도어가 심어져 있는 경우도 있다고 한다. 이에 소포스는 저숙련 범죄 단체가 구매하는 이런 저렴하고 저품질 랜섬웨어를 저렴하고 조잡한 총기에 빗대어 정크건 랜섬웨어(Junk gun ransomware)라고 부르고 있다.
소포스는 2023년 6월부터 2024년 2월까지 4개 포럼에서 19종류에 이르는 정크건 랜섬웨어를 발견했다. 그 중에는 오픈소스로 개발된 무료 버전이나 수십 달러짜리 저렴한 것도 포함되어 있었다.
소포스에 따르면 유명 랜섬웨어는 세련된 로고와 인터페이스를 사용하는 반면 정크건 랜섬웨어는 조잡하고 아마추어 같은 로고와 인터페이스를 사용하고 있다고 한다.
또 소포스에 따르면 유명 랜섬웨어는 러스트(Rust)나 고(Go) 등으로 개발 언어를 전환하고 있는 추세라고 한다. 소포스는 정크건 랜섬웨어는 C#이나 .NET 등 비교적 배우기 쉬운 언어로 개발되고 있다고 지적하며 이를 통해 정크건 랜섬웨어가 경험이 비교적 얕은 프로그래머에 의해 개발되고 있다고 추측하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
| Name | Date posted | Status | Price | Language | Used in attacks | Detection | Features |
| CatLogs | December 2023 | For sale | Unknown | .NET | Unknown | Unknown | Stealer, RAT, ransomware, clipper, keylogger |
| Unnamed console app | November 2023 | In development | N/A | C# | N/A | Defender, 2/70 VT | Loops over desktop, documents, pictures, music, videos |
| Custom RaaS | July 2023 | For sale | $200 | Unknown | Unknown | Unknown | RSA 2048/4096, anti-VM and debugger, UAC bypass, random extensions |
| Diablo | January 2024 | For sale | $50 per month | Unknown | Unknown | Defender | AES, threaded, external drives, offline mode, Defender bypass, persistence |
| Evil Extractor | December 2023 | For sale | $99 – $199 per month | Unknown | Yes | Unknown | Stealer, RAT, ransomware, FTP server, crypter, persistence, self-destruct, anti-VM |
| HardShield | September 2023 | Open source | Free | C++ | Unknown | Unknown | CBC AES128+RSA 2048, delete shadow copies, threaded, self-deletion |
| Jigsaw | June 2023 | For sale | $500 | .NET | Unknown | Multiple | Offline encryption, AES-RSA, threaded |
| Kryptina | December 2023 | For sale | $20 for single build / $800 for source code / free | C | Unknown | Unknown | Targets Linux, threaded, offline, AES-256 CBC |
| Lolicrypt | August 2023 | For sale | $1000 | Unknown | Yes | Unknown | Intermittent encryption, chacha20, cross-platform |
| Loni | July 2023 | For sale | $999 per month / $9999 lifetime | C | Unknown | Unknown | Remote, delete shadow copies, self-destruct, XTEA, intermittent encryption |
| Nevermore | October 2023 | For sale | $250 | C# | Unknown | Defender | AES-256, threaded, stealer, unique payloads, |
| RansomTuga | June 2023 | Open source | Free | C++ | Unknown | Multiple | Stealer |
| Yasmha | February 2024 | For sale | $500 | C# | Unknown | Multiple | N/A |
| Ergon | September 2023 | For sale | 0.5 BTC per compile, 2.5 BTC for source code | Unknown | Yes | Unknown | Custom builds, support, RaaS model |
| Unnamed ransomware | September 2023 | In development | N/A | Go | N/A | Unknown | Salsa20 encryption |
| Unnamed ransomware | July 2023 | For sale | $1000 | C++ | Unknown | Unknown | Threaded, delete shadow copies, self-delete, partial and full encryption |
| Unnamed ransomware | January 2024 | For sale | $60 | Unknown | Unknown | Unknown | Customer provides RSA keys, ransom note, desktop background, etc |
| Unnamed ransomware | February 2024 | For sale | $50 | Python | Unknown | Unknown | Unknown |
| Unnamed ransomware | June 2023 | For sale | $500 | Unknown | Unknown | Unknown | No decryption key |
이석원 기자
이원영 기자
