1. 개요
안녕하세요. OOO[1] 다운로드하려고 하는데요. 제 친구가 당신의 포럼에서 그것을 보았다고 말해줬습니다. 도움을 주시면 감사드리겠습니다. - 네봄이(질문 작성자)
여기 다운로드 링크입니다 OOO 다운로드 - Admin(관리자)
답변해 주셔서 감사합니다! 제가 찾고 있던 겁니다. - 네봄이(질문 작성자)
Admin, 감사합니다. - 이광국(회원)
문제가 해결되었습니다. 티켓을 이제 닫으셔도 됩니다. - 종희(운영자)
여기 다운로드 링크입니다 OOO 다운로드 - Admin(관리자)
답변해 주셔서 감사합니다! 제가 찾고 있던 겁니다. - 네봄이(질문 작성자)
Admin, 감사합니다. - 이광국(회원)
문제가 해결되었습니다. 티켓을 이제 닫으셔도 됩니다. - 종희(운영자)
사용자에게 랜섬웨어가 포함된 가짜 다운로드 링크를 노출함으로서 감염을 유도하는 Q&A 형식의 피싱 사이트다. 진짜 명칭은 알려져 있지 않으며, 보통 질문 작성자가 '네봄이'라서 네봄이 사이트라고 불린다. 2019년 4월경부터 프랑스어권에서 처음 유행이 보고되었으며 여기서는 'Fluffy'라는 이름인데, 언어에 따라 다양한 닉네임이 있다. 독일어의 경우 'Talentfrei', 영어의 경우 'Emma Hill'이라는 닉네임을 쓴다.
이 사이트는 특정 파일을 공유하는 포럼 페이지로 위장하고 있으며, 공격자가 게시한 “유포 게시글”로부터 로드된다. 유포 게시글은 워드프레스를 구동하는 웹 서버의 취약점을 공격하여 게시되며, 다수의 키워드를 활용하여 자동화된 툴에 의해 생성되는 것으로 추정된다. 나름대로 진짜 포럼 게시글을 따라하려고 했는지, 등장인물이 질문자, 관리자, 회원, 운영자 등으로 꽤나 다양하게 구성되어 있는 점이 눈에 띈다. 로그인 버튼, 회원가입 버튼, 다른 게시판으로 가는 버튼 등도 있으나, 눌러도 아무 일도 일어나지 않는다.
사이트는 질문과 답변 형식으로 구성되어 있다. 한국어 원어민이 보면 '나그네'[2]라든지, 스레드가 들어갈 자리에 티켓이라는 단어가 들어가 있다든지,[3] 그 외 질문/답변에 사용된 어색한 한국어로 인해 사기임을 짐작할 수도 있으나, 그냥 정상적인 사이트에서 자동으로 번역기를 돌린 걸로 판단한 사용자가 다운로드 링크를 클릭할 경우 파일이 다운로드 된다. 네봄이 사이트 출력 및 파일 다운로드 과정은 IP 필터링을 적용하고 있으며, 한 번이라도 네봄이 사이트에 접속한 IP의 경우 파일 다운로드 여부에 상관 없이 한동안 네봄이 사이트가 출력되지 않고 정상적인 사이트가 출력된다. 이는 해커들이 정상적인 사이트의 자바스크립트 코드에 해당 위장 사이트의 스크립트를 삽입하는 방식을 취하기 때문이다.
다운로드된 파일은 검색 키워드가 파일명으로 되어있는 ZIP 압축 파일이며, 내부에는 난독화되어 있는 .js 파일이 포함되어 있다. 압축을 해제 후 .js 파일을 실행 시 랜섬웨어 감염을 위한 행위를 시작한다. 여기이 심어진 랜섬웨어의 종류는 Sodinokibi(소디노키비)이다. Sodinokibi가 출현하기 전에는 GandCrab(갠드크랩)이 네봄이 사이트를 통해 유포되었다.
앱체크의 분석결과를 보면 "
C:\Windows\SysWOW64\notepad.exe
" 파일을 통해 파일 암호화가 진행되고 있으므로 네봄이 사이트에 접속한 경우 절대로 파일 다운로드를 하지 않도록 주의하라고 당부하고 있다.사이트의 주소가 cigarczarradio라는 문자열을 포함하고 있다면 이 사이트일 가능성이 크므로 속아서는 안 된다. 이는 미국 뉴욕 롱아일랜드의 한 시가 관련 독립 라디오 채널 사이트의 이름을 도용한 것이다. 페이스북과 인스타그램 페이지도 있는데, 들어가 보면 시가 피우는 털복숭이 아저씨들만 나온다... 채널 운영자들이 만들어놓고 방치해둔 사이트를 해커들이 탈취했을 가능성이 높다.
2. 예방
웹서핑 중 이 페이지를 마주칠 경우 파일을 다운받거나 실행해서는 절대 안 된다. 진짜 다운로드 사이트인 줄 알고 다운로드 해버려 랜섬웨어에 걸리는 사례가 많이 있다.엣지, 크롬, 파이어폭스 브라우저로 링크를 클릭하면 사기성 페이지로 나와서 다운로드를 막을 수 있게 해놨다.
2021년이 되도록 해독할 수 있는 방법이 나오지 않아서, 감염되면 되돌릴 수 없다고 봐야 한다. 컴퓨터를 계속 쓰려면 포맷 등을 통해 시스템을 바이러스가 변조하기 전으로 되돌려야 한다. 최근들어 이와 같은 사이트가 끊임없이 생기고 있는것으로 추정된다.
소디노키비 Sodinokibi 랜섬웨어 - 복호화 툴 [초다] 링크
소디노키비의 경우 일부 버전에 한해 복구툴이 나왔으니 사용해보자. 링크
3. 패러디
하도 자주 나와서 정보보안 관련 업체에서는 아예 패러디 웹 사이트를 만들었다.4. 그들의 기술
4.1. 프로토콜
네봄이가 주는 파일을 실행하면 외부로부터 악성코드 파일을 다운로드 하는데, 프로그램의 경량화 및 효율적인 전송을 위해 자체 프로토콜( BASE64와 유사한 방식)을 사용한다.4.2. 시연영상
5. 여담
- 네봄이(Fluffy) 조직은 조 바이든 미국 대통령이 국무부를 통해 신속한 검거를 지시하며 1천만달러(당시 한화 약 118억원)의 현상금을 건 해커조직 레빌(REvil)과 협력관계에 있는 것으로 알려져 있다. 레빌 지도부는 세계 각국의 랜섬웨어 개발 및 유포 조직을 협력관계에 두고 있다. # #
- 위키피디아 글을 통해 확인한 익명의 제보에 따르면, 네봄이 조직은 프랑스 코레즈 지역에 본거지를 두었던 것으로 추정된다.
- REvil(네봄이 상위 조직)의 조직원이자 현재 FBI에 수배를 받고 있는 조직원 중 한명이 2021년 11월경 시베리아에서 목격되었다. 그는 개인 저택과 헬기를 소유하는 등 호화로운 생활을 하는 것으로 알려졌다. #
- 정보보안 업계에서는 네봄이 조직이 사용하는 것과 같은 유인 방식을 업체에 따라선 늦어도 2020년 초에 식별하고 대응 방안을 논의하였지만, 일반 서버(웹 호스팅 등) 업체에서는 2023년 2월이 되어서야 해당 유형에 대해 언급하기 시작한 것으로 보인다. 3년이라는 시간 사이에 가장 공격이 활발했던 시기에는 대응을 사실상 못했다는 점에서 아쉬움을 자아낸다. #
- 동일 조직의 프랜차이즈로서 대한민국에 가장 먼저(2016년) 들어왔던 Magniber의 경우 2023년 8월부터 유포가 중단된 것으로 보인다고 한다. #
- REvil(네봄이 상위 조직)의 수배 이후 등장한 1천만달러 현상금이 걸린 사이버 범죄자는 락빗(Lockbit)이라는 조직의 이름이자 랜섬웨어를 개발 및 유포한 조직의 주요 임원이다. 락빗 조직은 대한민국 국세청을 해킹했다고 주장(2023년 3월)한 적이 있는 조직이라 대한민국 정부와도 악연이 있다. # 2023년 10월, 그는 한 언론 인터뷰에 응하며 심경을 밝혔다. #
- 네봄이 조직은 2022년 8월에 대한민국에 소재한 기업 두산을 해킹했다고 발표했다. #
- 유로폴의 발표에 따르면 2021년 2월과 2021년 10월에 대한민국의 수사기관이 네봄이 조직에 동조한 3개 팀을 검거했다고 한다. #
- 국가별로 부르는 이름 뜻풀이는 다음과 같다.
- Fluffy: 푹신푹신 (프랑스)
- REvil: 악마의 귀환 (미국)
- Talentfrei: 재수가 없는 (독일)
- Emma Hill: 아무개 (호주)
- Nebomi (The Four Seasons Blossom): 계절이 바뀌어도 만개하는 꽃 (한국)
- 만약, 네봄이와 직간접적으로 연관이 있는 조직을 모두 소탕하는 경우 지급될 현상금은 2천만달러(2023년 10월 기준, 267억 9,800만원)에 달한다.
- 김재원(인터넷 방송인)이 해당 랜섬웨어에 감염된 적이 있다. # [4]
- 2021년 08월, 네봄이 조직과 공모하여 REvil의 랜섬웨어를 수사기관을 사칭하는 내용과 함께 불특정 다수에게 이메일로 발송한 대한민국의 고등학생 2명의 재판이 이루어졌다. 이들은 서울중앙지방법원에서 열린 재판[5]에서 각각 징역 2년, 1년 6개월을 선고받았다.
- 2023년 11월, 대한민국 검찰은 네봄이 조직과 동조하여 랜섬웨어를 유포한 데이터복구 업체 관계자 2명을 구속기소하였다고 발표하였다. 이들이 벌어들인 수익금은 730회에 걸쳐 총 26억원으로 추산되며 이 중 일부는 북한의 해커 그룹으로 송금되었다. # #
- 2023년 12월, 법원 전산망 해킹 사건이 알려지면서 불과 1달 전 랜섬웨어 조직원의 기소 소식이 있었기 때문에 연관성 여부가 관심을 받고 있다. #
[1]
사용자가 어떤걸 다운로드 하려고 검색하느냐에 따라 그 단어로 쓴다.
[2]
영어 guest를 번역한 결과물로 보인다.
[3]
프랑스어 원문에서도 le ticket이라고 나온다. 아마 포럼의 스레드보다는 고객센터 사이트에서 접수되는 질문을 부르는 이름인 '고객 서비스 지원 티켓(technical support ticket)'의 의미로 가져다 쓴 것으로 보인다.
[4]
감염이 된 이유는
오버워치
짝퉁 게임을 봤는데 그 게임을 찾아보다 우연히 네봄이 사이트에 들어가서 다운로드를 받아 .js 파일을 실행해서 감염 될 가능성이 있다.
[5]
서울중앙지방법원 2021. 8. 18. 선고 2021고단17, 2021고단2024(병합) 판결, 사기, 정보통신망이용촉진및정보보호등에관한법률위반(정보통신망침해등), 정보통신망이용촉진및정보보호등에관한법률위반, 공갈미수