[CCTV뉴스=최형주 기자] 비너스락커(VenusLocker) 조직이 중소기업을 대상으로 RaaS 기반 소디노키비 랜섬웨어를 유포하고 있는 것으로 드러났다.

이스트시큐리티는 5일 자사의 보안블로그를 통해 입사지원서로 위장한 악성메일을 통해 랜섬웨어가 유포되고 있다고 밝히고 이메일 사용 시 주의를 당부했다.

비너스락커 그룹은 지난 4월에도 입사지원서로 위장한 갠드크랩 악성 메일을 유포한 바 있다. 당시 해당 메일들은 네이버 도메인과 알집 EGG 압축 포맷을 사용하는 등의 정교함을 보였고, 이번 입사지원서 위장 메일의 경우는 유창한 한글과 국내 유명 포털인 다음의 메일 도메인을 사용했다.

이스트시큐리티 대응센터(ESRC)의 조사 결과, 해커는 한국 휴대폰으로 한메일에 가입했고 유포된 악성 메일은 마침표를 쓰지 않는 특징이 있다. 또한 첨부된 7z 포맷 압축 파일에는 한글 파일로 위장한 악성코드 실행 파일이 들어있다.

소디노키비 랜섬웨어에 감염 시 피해자의 PC는 파란색 바탕 화면으로 변하고 각 폴더엔 돈을 요구하는 랜섬노트가 생성된다. 현재 알약은 해당 악성 샘플을 ‘Trojan.Ransom.GandCrab’으로 탐지하고 있다.

최형주 기자 다른기사 보기