12.12
뉴스홈 > 보안/해킹
하우리, NAS 장비 공격하는 랜섬웨어 감염 주의삼바 취약점 이용해 전파…몸값으로 3,800만 원 요구

   
▲ ‘스토리지크립트’ 랜섬노트

[아이티데일리] 하우리(대표 김희천)는 최근 ‘NAS(네트워크 결합 스토리지)’ 장비를 대상으로 전파 중인 랜섬웨어가 발견돼 국내 사용자들의 주의가 필요하다고 7일 밝혔다.

이번에 전파 중인 랜섬웨어는 ‘스토리지크립트(StorageCrypt)’라고 명명됐으며, 리눅스 ‘삼바(SAMBA)’ 취약점인 ‘삼바크라이(SambaCry, CVE-2017-7494)’를 통해 NAS 장비에 침투한다. ‘삼바’는 파일 공유 서비스로 최근 ‘워너크라이’ 사태를 야기했었으며, 윈도우와 리눅스를 혼용으로 사용하는 환경에서 많이 사용된다. 이번 ‘삼바크라이’는 리눅스 버전에 대한 공격 도구이며, 주로 NAS 장비 환경이 리눅스이기 때문에 심각한 피해가 우려되는 상황이다.

해당 랜섬웨어는 NAS 서버에 있는 파일들을 ‘AES-256’과 ‘RSA-4096’ 암호 알고리즘을 이용해 암호화한 후 ‘.locked’라는 확장자로 변경한다. 그리고 ‘_Read_ME_FOR_DECRYPT.html’ 파일명의 랜섬노트를 생성해 사용자에게 몸값 비용을 안내한다.

또한 폴더마다 ‘Autorun.inf’와 ‘美女与野兽.exe’ 파일을 추가로 생성하며, ‘Autorun.inf’ 파일은 NAS에 접근하는 사용자들에게 ‘美女与野兽.exe’ 파일을 전파한다. 이 파일은 백도어 악성코드로 확인됐다. ‘스토리지크립트’가 요구하는 몸값 비용은 2비트코인(한화 약 3,800만 원)이다.

하우리 CERT실 관계자는 “해커들이 중요 자료들이 많이 보관돼 있는 NAS 장비를 노리고 있다”며, “삼바 환경의 NAS 장비 사용자들은 해당 장비의 보안 패치를 실시해 피해를 사전에 예방 할 수 있도록 해야 한다”고 말했다.

한편, 하우리 ‘바이로봇’에서 ‘스토리지크립트’는 ‘Linux.Agent’의 진단명으로, 백도어 악성코드는 ‘Backdoor.Win32.VB’의 진단명으로 탐지 및 치료할 수 있다.

인기기사 순위
153-023) 서울시 금천구 가산동 327-32 대륭테크노타운 12차 13층 1314호 (주)ITMG
TEL:02-2029-7200  FAX:02-2029-7220  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김용석