샘샘(SamSam), 600만불의 랜섬웨어

랜섬웨어(ransomware) 중에서 가장 유명하고 널리 퍼진 것은 워너크라이(WannaCry)와 낫페트야(NotPetya)일 것이다. 그러나 요란스럽게 주목받지 않으면서도 알차게 수익을 챙긴 것은 샘샘 랜섬웨어이다.

소포스의 새로운 연구에 의하면, 샘샘 랜섬웨어가 처음 유포된 2015년 12월 이래로 거둔 수익은 총 600만 달러 가량 된다. 연구팀은 랜섬 노트에 표시된 비트코인 지갑을 추적해서 이런 결과를 내놨다. 반면 피해자는 233명에 불과했다. 또한 수익은 매달 30만 달러 정도의 속도로 지금도 늘어나고 있다.

이런 특이한 점은, 샘샘은 무차별적으로 배포하지 않고 표적을 선별해서 공격했으며, 다른 랜섬웨어들과는 달리 자가증식하지 않고 해커의 수동 공격으로 퍼졌다는 것이다. 그리하여 불필요하게 이목을 끌거나 통제불능으로 퍼져 나가는 등의 부작용을 피할 수 있었다.

샘샘은 처음에는 RDP(Remote Desktop Protocol, 원격 데스크톱 프로토콜)을 통해 침투한다. 원격 데스크톱에 접속하려면 로그인 정보가 필요하다. 윈도우의 원격 데스크톱에는 마이크로소프트 계정, 크롬의 원격 데스크톱 확장 기능에는 구글 계정이 필요하다. 이런 로그인 정보는 brute force 공격이나 암시장에서 사옴으로써 해결했다. 이렇게 일단 교두보를 확보한 후에는 네트워크를 통해 다른 컴퓨터의 취약점을 이용해 공격했다. 전체 네트워크 시스템을 감염시킨 후에는 주요 데이터를 암호화 시킨 다음, 암호 해독을 빌미로 돈을 뜯어내는 것이다.

샘샘은 대형 표적도 많이 공격했다. 애틀랜타시 정부, 콜로라도 운송부, 몇몇 병원과 미시시피 밸리 주립대학 같은 교육기관이 그 예다.

여기서 배울 점은 원격 데스크톱을 잘 지켜야 한다는 것이다. 쓰지 않을 때는 이 기능을 꺼두는 것이 좋으며, 계정 암호는 강력하게 설정해야 한다.


참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다