체크멀 “갠드크랩 최신 버전에 이터널블루 SMB 취약점 이용 웜 방식 전파 기능 탑재”
서비스형 랜섬웨어(RaaS)로 악명을 떨치고 있는 갠드크랩에 워너크라이 공격에 사용된 이터널블루 SMB 취약점 이용 웜 방식 전파 기능이 포함돼 있는 것이 확인됐다.
체크멀(대표 김정훈)에 따르면 최신 갠드크랩(GandCrab) v4.1 버전에 이터널블루 취약점 이용 공격이 포함돼 있으며, 사용자가 아무 행동을 하지 않아도 취약점 패치가 되어있지 않은 환경이라면 내부 네트워크에서 SMB을 통해 자동으로 감염된다. 패치 되지 않은 모든 윈도우 클라이언트와 서버 OS가 해당 취약점을 내포하고 있어 각별한주의가 필요하다.
갠드크랩 랜섬웨어는 파일 암호화 이후 다수의 웹 서버에 위치한 이미지 파일에 대한 접속 행위가 포함되어 다양한 수익 창출 기능이 추가될 수 있다.
체크멀 관계자는 “갠드크랩 랜섬웨어는 SMB 취약점을 통한 웜 감염 방식 외에도 웹사이트 접속 중 취약점을 통한 자동 감염, 메일 첨부파일 또는 링크를 통한 감염, 크랙 또는 정상 프로그램으로 위장해 사용자가 파일을 실행하도록 유도하는 방식 등 다양한 방식으로 유포되고 있으므로 주의해야 한다”고 당부했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
