공지사항 - 고(Go) 언어로 된 비안리안 랜섬웨어 주의보

Extra Form
원문주소	https://www.boannews.com/media/view.asp?idx=109281

고 언어로 만들어진 새 랜섬웨어가 다크웹에 등장했다. 이름은 비안리안이다. 나온 지 1달 막 넘었을 뿐인데 이미 공격자들 사이에서 인기가 높다. 왕좌가 자주 바뀌는 랜섬웨어 산업에서 비안리안이 어디까지 갈 수 있을지가 궁금해진다.

사이버 범죄자들 사이에서 현재 꽤나 인기가 급상승하고 있는 랜섬웨어가 있다. 이름은 비안리안(BianLian)으로, 고(Go) 언어를 기반으로 하고 있으며, 지난 7월 중반에 처음 등장했다. 비안리안을 사용하기 시작한 공격자들은 현재 무작위 살포 유형의 공격을 주로 하고 있으며, 따라서 주로 공격을 받는 산업이나 무사한 산업이 특별히 구분도 되지 않는 상황이다. 이에 대해 보안 업체 사이블(Cyble)이 조사해 발표했다.

사이블이 발표한 내용에 의하면 비안리안이 현재 무차별적으로 사용되고 있다고는 하지만, 그래도 특별히 피해가 많은 곳이 있는데 바로 미디어와 엔터테인먼트 분야라고 한다. 현재까지 발생한 비안리안 피해자의 25%가 이 산업군에서 나왔다. 그 다음은 각종 전문직 서비스, 제조, 의료, 에너지, 교육 분야인데, 각각 전체 피해자의 12.5%를 차지하고 있다.

또, 비안리안을 사용하는 공격자들 대부분은 매우 높은 금액을 피해자에게 요구하는 것이 보통이라고 한다. 채택된 암호화 기술 및 유형도 독특한데, 피해자의 파일을 10바이트 덩어리로 나눠서 암호화를 진행한다고 한다. 랜섬웨어 솔루션의 탐지를 막기 위해서인 것으로 보인다. “암호화 할 파일의 첫 10바이트를 읽고 암호화 하고, 그 결과를 최종 파일 안에 작성합니다.” 사이블의 설명이다.

요즘 랜섬웨어답게 이중 협박 전략을 차용하고 있기도 하다. 공격이 발생하고 10일 안에 공격자들이 요구하는 돈을 송금하지 않을 경우 중요 데이터를 공개하겠다고 협박하는 것이다. 이런 목적으로 웹사이트를 하나 개설해 토르 네트워크에서 운영하고 있기도 하다.

비안리안은 피해자의 시스템에 설치된 이후 제일 먼저 파일이 와인(WINE) 환경에서 실행되고 있는지 확인부터 한다. 이 때 GetProcAddress() API를 통해 wine_get_version() 함수를 실행시킨다. 그런 후 CreateThread() API를 사용해 다량의 스레드를 생성한다. 파일 암호화 과정의 속도를 높이기 위함이기도 하지만 멀웨어의 역설계를 보다 어렵게 만들기 위함이기도 하다.

이 과정 후 비안리안은 A부터 Z까지 시스템 드라이브들을 식별하기 시작한다. 이 때는 GetDriveTypeW() API가 활용된다. 이렇게 함으로써 외부에서 연결된 드라이브들 내 파일들까지도 암호화 할 수 있으며, 따라서 백업 드라이브를 오프라인으로 유지하지 않는 이상 비안리안에 당하게 된다. 이렇게 해서 주요 파일들을 다 암호화 하면 협박 편지를 심는다.

고 언어로 만들어진 랜섬웨어라는 측면에서도 비안리안은 독특하다. 이 덕분에 비안리안은 개발은 물론 활용에서 매우 유연한 모습을 보여준다고 사이블은 설명한다. “물론 이전에도 고 언어로 만들어진 멀웨어와 랜섬웨어들은 있었습니다. 하지만 그리 많지는 않았죠. 최근 고 언어의 장점을 깨달은 공격자들 사이에서 고 기반 멀웨어들이 인기를 높이고 있습니다.” 일각에서는 고 언어가 가까운 미래에 공격자들의 주요 언어가 될 가능성도 높다는 예측이 나오기도 한다.

고 언어의 가장 큰 장점은 단일 코드베이스를 다양한 OS에 맞게 컴파일링할 수 있다는 것이다. 맥OS용 소프트웨어를 윈도용으로 바꾸기 위해 코드를 다시 짤 필요가 없는 것이다. 그래서 크로스플랫폼을 지향하는 공격자들 사이에서 고 언어가 주목받고 있다고도 볼 수 있다. 또한 이런 특성 때문에 멀웨어 자체에 변화를 적용하기 쉽고, 그런 변화들 때문에 기존 탐지 기술들에 혼선을 주는 것도 가능하다.

최근 나타난 멀웨어들 중 크라켄(Kraken)과 블랙로타(Blackrota)가 고 언어로 만들어진 것으로 알려져 있다. 크라켓은 봇넷 멀웨어고 블랙로타는 백도어다.

각 국가와 지역의 사법 기관들은 랜섬웨어 공격자들에 대한 압박의 수위를 부지런히 높이고 있다. 코로나가 물리적 환경의 팬데믹이라면 랜섬웨어는 사이버 공간의 팬데믹이라고 불러야 한다는 주장도 계속해서 나왔었다. 그러면서 유명 랜섬웨어 단체가 사라지기도 했었는데, 그 빈 자리는 후속 주자들이 잘도 채워왔다. 랜섬웨어 산업의 씨를 말리려면 사법 활동 만이 아니라 랜섬웨어 공격을 통한 수익을 줄여야 한다. 하지만 아직 이렇다 할 방법이 나오지는 않고 있다.

사이블은 블로그 게시글을 통해 여러 가지 랜섬웨어 대응법을 제안했다.
1) 주기적인 백업과, 백업 드라이브의 오프라인 유지
2) 소프트웨어 업데이트
3) 안티 멀웨어 소프트웨어 설치 및 사용
4) 수상한 링크 누르지 않고 수상한 파일 열지 않기

3줄 요약
1. 고 언어로 된 새로운 랜섬웨어 비안리안이 공격자들 사이에서 높은 인기를 누리고 있음.
2. 고 언어는 크로스플랫폼에 특화된 멀웨어 만들기에 적합한 언어.
3. 비안리안은 백업 드라이브도 암호화 하고, 파일을 10바이트씩 끊어서 암호화 함.

번호	날짜	분류	제목	조회 수
공지	2024.01.22	보안 정보	"PC백신 끄세요"… 게임 쉽게 하려다 코인 채굴기 돼 버린 PC	435
공지	2022.07.25	업무 안내	이레시스템 업무안내	874
80	2022.07.26	컴퓨터 수리관련	오늘부터 윈도우 10 설치 시 21H2에서 22H2로 버전 업 해드립니다.	168
79	2022.07.30	업무 안내	2022년 여름휴가 안내드립니다.	64
78	2022.08.02	보안 정보	귀신랜섬웨어 등장 - 한국 기업 노린다.	76
77	2022.08.10	문제 수정	NVIDIA GeForce 516.79 HOTFIX	1185
76	2022.08.10	업무 안내	삼성카드 시스템 개선을 위한 서비스 일시 중단 안내	54
75	2022.08.13	보안 정보	송장·선적서류·구매주문서 위장한 정보탈취용 악성코드 기승	41
74	2022.08.17	보안 정보	MS 생태계의 취약점	45
73	2022.08.18	보안 정보	사기꾼, 맬웨어가 포함된 가짜 Microsoft Office USB 스틱 배포	61
72	2022.08.22	보안 정보	한글 OLE 악용하는 해커들, 최근 공격 정황 포착	75
71	2022.08.23	보안 정보	매그니베르…랜섬웨어 주의보	13
»	2022.08.24	보안 정보	고(Go) 언어로 된 비안리안 랜섬웨어 주의보	9
69	2022.08.24	보안 정보	크롬OS에서 발견된 초고위험도 취약점	23
68	2022.08.25	보안 정보	한글에 포함된 글꼴 무료 아니고 저작권이 있습니다.	143
67	2022.08.26	업무 안내	2022년 추석 명절 정상 영업합니다.	17
66	2022.08.30	보안 정보	알약 랜섬웨어 이슈 - 먹통부터 증상 다양 2	66
65	2022.09.01	보안 정보	전원 충전기 잘못 구매 시 뻥하고 터질 수 있습니다.	16
64	2022.09.12	보안 정보	"임영웅 mp3 파일·택배 문자 함부로 누르지 마세요"	45
63	2022.09.16	보안 정보	Microsoft, 3개월 만에 Windows 10 버전 21H1을 종료합니다	13
62	2022.09.17	보안 정보	USB 케이블 43개 테스트했더니 - 오래된 케이블 당장 버려야	14

공지사항 및 정보

고객 센터

고(Go) 언어로 된 비안리안 랜섬웨어 주의보