최근 블루크랩(BlueCrab, 일명 Sodinokibi) 랜섬웨어가 지속적으로 유포되고 있는 가운데, 최근에는 동영상 유틸리티 다운로드 등으로 위장한 피싱 사이트를 통해 설치되는 사례가 확인됐다. 추석 연휴를 앞두고 사용자들의 각별한 주의가 요구된다.

이번에 확인된 블루크랩 랜섬웨어는 [그림 1]과 같이 동영상 유틸리티를 다운로드하는 사이트로 위장한 피싱 사이트를 통해 자바스크립트 형태로 유포되고 있다.

[그림 1] 유틸리티 다운로드 관련 피싱 사이트

피싱 사이트를 통해 유포된 자바스크립트는 난독화 되어 있으며, 사용자 PC에 다운로드되면 난독화 해제 후 자바스크립트를 추가로 다운로드하여 실행한다. 추가로 다운로드된 자바스크립트는 파워쉘 스크립트와 인코딩된 페이로드를 실행해 권한 상승을 시도하여 블루크랩 랜섬웨어를 실행한다.

블루크랩 랜섬웨어는 PC에 설치된 백신 프로그램의 실행을 중단(비활성화)하기 위해 권한 상승을 시도한다. 그러나 최신 버전의 V3 제품은 해당 블루크랩 랜섬웨어의 권한 상승 행위를 탐지 및 차단하여 [그림 2]와 같은 알림창을 제공한다.

[그림 2] V3 제품의 행위기반 탐지 알림창

또한 V3 제품은 다음과 같은 진단명으로 최신 블루크랩 랜섬웨어를 탐지하고 있다.

<V3 제품군 진단명>

- JS/BlueCrab.S8 (2019.08.20.00)

- Malware/MDP.Behavior.M2084

블루크랩 랜섬웨어는 올해 초 기승을 부렸던 갠드크랩 랜섬웨어와 마찬가지로 다양한 방식을 이용해 유포되고 있으며, 최근에는 주로 피싱 이메일이나 유틸리티 등으로 위장하고 있다. 추석 연휴를 앞두고 랜섬웨어 유포를 위한 피싱 공격이 더욱 증가할 우려가 있는 만큼, 사용자들의 각별한 주의가 필요하다.

최신 블루크랩 랜섬웨어에 관한 보다 상세한 내용은 안랩 시큐리티대응센터(ASEC) 블로그에서 확인할 수 있다.