크리시스 랜섬웨어, RDP 통해 비너스 랜섬웨어 설치... 네트워크도 공격 대상
[보안뉴스 김영명 기자] 크리시스(Crysis) 랜섬웨어 공격자가 비너스(Venus) 랜섬웨어를 공격에 함께 사용하고 있는 것이 확인됐다. 크리시스와 비너스 랜섬웨어 모두 주로 외부에 노출된 원격 데스크톱 서비스를 공격 대상으로 하는 것으로 알려진 대표적인 랜섬웨어들이다.
안랩 ASEC 분석팀에 따르면, RDP(Remote Desktop Protocol, 원격 데스크톱 서비스)를 공격 벡터로 이용하는 공격자들은 일반적으로 외부에서 접근 가능한 시스템을 대상으로 RDP가 활성화돼 있는 시스템들을 스캐닝한다. 스캐닝 과정에서 찾은 시스템들에 대해서는 무차별 대입 공격이나 사전 공격을 수행한다. 만약 사용자가 부적절한 계정정보를 사용하고 있는 경우 공격자는 쉽게 계정정보를 획득할 수 있다.
공격자가 획득한 계정정보로 원격 데스크톱을 이용해 시스템에 로그인할 경우 해당 시스템의 제어권을 획득할 수 있기 때문에 그 이후 다양한 악성 행위를 수행할 수 있다. 비너스 랜섬웨어를 설치한 공격자도 RDP를 공격 벡터로 사용한 것으로 추정되며, 탐색기 프로세스(explorer.exe)에 의해 다수의 악성코드가 생성되는 것이 근거 중 하나다.