모 서버 호스팅 업체가 랜섬웨어에 당했다고/ 덧붙은 심화 기사. 안랩 분석

1. 2017.6.12

그 회사 자체에 대해서는 그냥 저냥이지만

호스팅 업체라는 성격때문에 언론이 많이 다루고 있고 정부에서도 관심을 가지고 있습니다.

해당 업체는 백업본까지 몽땅 감염됐다고 발표. 해커는 서버당 얼마씩을 요구했는데, 가상회폐 최근 시세로 총 27억쯤이 된다네요.

http://www.nayana.com/

http://www.kpug.kr/kpugfreeboard/2304684

http://www.parkoz.com/zboard/view.php?id=express_freeboard2&no=437024

https://www.clien.net/service/board/news/10850966

https://www.clien.net/service/board/news/10853927

http://news.inews24.com/php/news_view.php?g_serial=1028701&g_menu=020200&rrf=nv

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170612091551&type=det&re=

http://news.inews24.com/php/news_view.php?g_serial=1028693&g_menu=020200&rrf=nv

위 링크 중 하나에서, 윈도우 컴퓨터가 감염되어 smb로 저장소를 관리하던 리눅스 서버의 데이터가 감염된 것 같다는 말이 나옵니다. 그런데, 리눅스 서버라고 해서 안전하기만 한 것은 아니고, 삼바서버에 취약점이 있는 컴퓨터를 해킹해 채굴좀비로 만들어 악용한 사례가 생겼다고 합니다. 나중에 나온 추가 기사를 보면, 리눅스OS용으로 나온 악성코드라고 합니다.

2. 2017.6.14

'에레버스' 랜섬웨어, 웹호스팅 서버 첫 감염…“사이트 닫을 판” - 전자신문 2017.06.12

긴급] 웹호스팅 업체 랜섬웨어 감염! 중소 웹사이트로 피해 확산되나 - 보안뉴스 2017.6.12

리눅스OS를 통해 퍼지는 랜섬웨어. 해당 업체는 중견업체라 정부의 관련 규정의무자는 아님. 호스팅한 3400개 개인, 회사가 피해. 인터넷쇼핑몰, 컨텐츠 서비스 뿐 아니라 PCB제조업체까지. 약관상 백업은 이용자의 의무기 때문에 호스팅업체는 선의를 다 했으면 책임지울 수 없음. 일단 일단 협상 중.

최근의 피해 및 사건사고: 

• 서울고속버스터미널의 전광판 PC가 ‘필라델피아’ 랜섬웨어에 감염되어 5일 넘게 전광판 PC를 방치
• 경찰의 교통위반 범칙금 통지문을 사칭한 랜섬웨어가 이메일을 통해 유포
• PC 수리를 맡긴 고객사의 랜섬웨어 감염 PC에 랜섬웨어를 추가로 유포하고 해커가 요구하는 금액을 대폭 올리는 수법으로 1억원 상당을 가로챈 PC 수리업체 간부 구속

"관문 하나만 뚫으면.." 갈수록 영악해지는 랜섬웨어
김지민 기자 입력 2017.06.13.
개인PC→서버·클라우드로 보폭 넓히는 해커들.. 보안 취약한 중소업체들 표적 가능성 높아져

랜섬웨어 뿐 아니라 일반 해킹도, 외국도 호스팅 업체를 대상으로 하는 일이 증가하고 있음. 같은 범행으로 더 큰 이익을 노려 더 손쉽게 협박할 수 있어서. 클라우드 서비스 시장도 예외가 아님. 개인 수준에서는 번거롭더라도 클라우만 믿지 말고, 개인장비에 백업을 따로 받고, 공격발생시 전원들어간 시스템이 다 오염되거나 파괴돼도 복구할 수 있도록 가능하면 "오프라인 백업"을 해 둘 것.

랜섬웨어 감염 리눅스 서버, 어떤 일 생기나
zdnet 2017.06.13.
"32·64비트 433종 확장자 암호화"..안랩 분석

• 인터넷나야나 서버를 감염시킨 에레부스는 32비트/64비트 리눅스 OS를 감염시킴. 커널 버전을 가리는 지는 확인되지 않음.
• 일단 감염되면 외부의 행동개시명령없이 동작함. 즉, 랜선을 빼버려도 컴퓨터가 켜져 있고 그 프로세스가 살아 있으면 암호화가 계속됨. 암호화된 파일에는 협박과 복호화에 사용할 컴퓨터 고유번호 등이 들어감.
  온라인 백업 등을 이유로 다른 컴퓨터와 간헐적으로 연결되는 컴퓨터도 일단 걸리면 당할 텐데, 이 랜섬웨어가 자체 전파능력이 어느 정도인 지는 발표 없음.
• 지정된 "리눅스 시스템 경로를 제외"(이 부분이 기사에는 잘못 나와 있다)한 디렉토리에 존재하는 문서, 그림, 압축파일 433종을 암호화. 
• 비트코인을 요구하며, 명령제어서버 주소는 Tor 네트워크로 우회 접속하도록 되어 있음.
• 안랩 발표인 만큼 안랩에서는 V3엔진을 업데이트했고, 이 발표를 통해 정보를 공개했음.

국내 웹호스팅 업체 리눅스 서버 감염시킨 에레버스(Erebus) 랜섬웨어

악성코드 정보 2017.06.12

출처: http://asec.ahnlab.com/1068 [ASEC Threat Research & Response blog]

- 각각 32비트 그리고 64비트 환경에서 동작하는 리눅스용 ELF 파일

- 암호화 대상 파일명 변경: "[영문과숫자조합].ecrypt"

- 랜섬노트 파일 생성: "_DECRYPT_FILE.txt" "_DECRYPT_FILE.html" (협박 및 결제 요구)

주말, 결과 메모:

예상된 대로 정부 기관은 복구능력 없음. (어느 나라의 기관도 랜섬웨어 피해 데이터를 던져주면 일 주일 안에 짠!하고 복구해준 실적은 없을 것임)

피해 업체는 해커와 협상해서 돈을 주기로 했다는 얘기가 있음. 타결 전에 피해자 중 개별적으로 해커와 접촉해 돈주고 푼 사람이 있어 압력을 더 받았던 모양. 그 돈을 마련하기 위해 회사를 내놨다는 말이 있음. 해커는 "당신 회사 직원이 몇 명이고 연봉이 얼마쯤일 테고 서버가 몇 대니까 돈 이거 정도는 마련할 수 있을 거라"면서 계산서를 만들어 날렸다고. 그런데 우리 나라 이 업종 회사들, 해킹한 놈이 기대한 만큼 부자가 아니었디고.

개별 회사의 컴퓨터가 아니라 서비스 인프라를 담당하는 회사가 털려 수많은 피해자가 나왔음. 게다가 돈을 주고 데이터를 푼 사례가 되었음. 정부가 할 일이 많아졌음.

[리포트+] 13억 원 뜯어간 랜섬웨어 해커.."어쩔 수 없어" vs "최악의 선례" - sbs 2017.6.17

그리고 6월 말에 또 나온 기사들.

돈을 주고 협상했지만, 해커가 넘겨준 정보를 가지고 복구할 수 없는 서버가 몇 대 있음. 

1. 돈벌어야 하는 도둑이 일부러 그런 게 아닐 수도 있지만, 컴퓨터 프로그램이라는 게 그렇듯이, 범행 프로세스가 실행되는 과정에 꼬인 게 있는 모양.

2. 해커가 넘겨준 복호화 프로그램이 버그가 많다는 모양.

최근엔 인터넷나야나의 서버에서 웹애플리케이션 환경으로 PHP 5.1.4 버전이 구동되고 있다는 점도 문제시 - 하지만 이것이 원인인 지는 아직 조사결과가 나오지 않아.

서버 150여대가 일시이 무력화된 것은, 아마도 관리하는 사람들이 편하자고 암호를 엑셀파일같은 데 넣어 써먹은 게 아니냐는 의심.

보험은 있냐? 왜 안 들었냐는 말도 있는데, 본래 협회차원에서 공동보험을 들었는데 회원사들이 귀찮다고 탈퇴했다고..(..)

7.1. 인터넷나야나 해킹 과정에 대한 대략적인 설명 기사가 나왔습니다.

https://www.clien.net/service/board/news/10916768

정부 "인터넷나야나, APT·랜섬웨어 결합공격 당해"
zdnet 2017.06.29
미래부-KISA, 6.10 인터넷나야나 침해사고 중간결과 발표

"인터넷나야나 운영환경은 서버 관리 단말로 인터넷에 접속할 수 있었고, 서버 접근을 아이디와 패스워드만으로 허용해 계정 탈취에 취약했으며, 백업정책 등이 지능화 해킹공격에 대응할만한 체계로 보완되지 않았다"

침입자는 시스템 운영 방식을 잘 숙지한 다음 취약한 시점을 골라 공격했습니다.
백업서버가 무용지물이었던 것은, 관리서버를 해킹당하면서 해커가 백업서버까지 건드렸기 때문. (자주 백업하는 지울 수 있는 저장장치다 보니 백업서버의 관리자 계정이 털리면 끝.)

인터넷나야나 회사 자체는, 적어도 관련 기사에 올라온 이야기를 보면, 갖추어놓은 시스템은 업계 평균보다 못하지 않았다고도 합니다. 하지만 당했죠.