작년 4월에 등장해 이미 꽤나 눈길을 끄는 세력이 된 랜섬웨어 그룹이 있다. 페이로드 개발에 쏟을 자원을 다른 곳에 투자하는 영리함도 선보이고 있다. 앞으로 더 성장할까봐 우려되는 조직이다.
[보안뉴스 문가용 기자] 지난 해 4월에 등장한 랜섬웨어 그룹 하나가 최근 두각을 나타내고 있다. 그러면서 지역과 나라와 산업을 막론하고 피해자들을 양산하는 중이다. 탄생한 지 1년도 되지 않는 단체의 약진에 사이버 범죄 커뮤니티와 보안 커뮤니티 모두가 관심을 기울이고 있다.[이미지 = gettyimagesbank]
이 랜섬웨어 그룹의 이름은 라월드(RA World)다. 원래는 라그룹(RA Group)이었다. 요 근래에는 남아메리카 지역의 의료 기관들을 주로 공략하고 있다고 보안 업체 트렌드마이크로(Trend Micro)는 경고한다. 탐지 기술을 회피하고 최대한의 피해를 안기는 것을 목적으로 움직이고 있으며, 이를 위해 고급 공격 기술도 구사하는 모습을 보여주고 있다는 게 트렌드마이크로가 추적하고 내린 결론이다.라월드가 등장한 건 지난 해 4월 22일이다. 초기에는 미국과 한국의 생산 시설, 자산 관리 업체, 보험사, 제약 산업을 주로 공격했다. 그러면서 서서히 독일, 인도, 대만 등으로 공격 표적을 확대시켰고, 최근에는 남미까지 넘보기 시작한 것이다. 그럼에도 라월드가 가장 많이 공격하는 건 미국의 기업들이다.라그룹은 진화한 바북라그룹의 시작은 바북(Babuk)이라는 기존 랜섬웨어와 함께였다. 바북 랜섬웨어의 소스코드가 2021년 유출된 적이 있는데, 이를 가져다가 자신들의 랜섬웨어를 만들어 사용한 것이다. 라월드가 된 현재에도 이 공격자들은 바북을 활용하고 있는데, 트렌드마이크로에 의하면 이들은 소스코드를 따로 개발할 필요가 없이 커스터마이징만 가끔씩 할 뿐이기 때문에 랜섬웨어 개발 자원과 시간을 다른 부분의 실력을 향상시키는 데 사용할 수 있다고 한다.“바북 사건처럼 소스코드가 유출될 때, 랜섬웨어 사업을 시작해보고자 하는 초기 단계의 공격자들의 진입 장벽이 낮아지는 효과가 나타납니다. 자신들만의 고유한 랜섬웨어를 만들 실력이 없어도 랜섬웨어 사업을 할 수 있게 되거든요.” 트렌드마이크로 측의 설명이다. 이번 분석과 연구에는 나타니엘 모랄레스(Nathaniel Morales), 캐서린 카소나(Katherine Casona), 아이에리즈 니콜 곤잘레스(Ieriz Nicolle Gonzalez), 이반 니콜 샤베즈(Ivan Nicole Chavez), 마리스텔 폴리카피오(Maristel Policarpio), 제이콥 산토스(Jacob Santos)가 참여했다.트렌드마이크로는 라월드가 다단계로 공격을 진행한다고 하며, 최초로 피해자 시스템에 침투하기 위해 침해된 도메인 컨트롤러를 주로 뚫어낸다고 밝혔다. “그런 다음 그룹정책객체(GPO) 설정을 변경시켜 파워셸 스크립트가 실행되도록 만듭니다. 동시에 자신들의 페이로드를 피해자의 기계 내에 저장시키기도 합니다. 그 후에는 GPO를 통해 로컬 네트워크에 연결된 다른 기계들에서도 페이로드를 실행시킵니다. 한 네트워크 안에서 최대한 많은 장비들을 감염시키는 것이 목적인 것으로 보입니다.” 러시아의 공격자인 샌드웜(Sandworm)이 우크라이나 조직들을 공략할 때 GPO를 공략한 적이 있었다.이렇게 침투 후 여러 장비를 장악했다면 라월드는 자신들이 커스터마이징 한 바북 페이로드를 실행시킨다. 그러면서 협박 편지도 피해자의 시스템에 남기는데, 여기에 자신들에게 돈을 내지 않았거나 낼 수 없었던 다른 피해자들의 명단도 포함되어 있다. ‘너도 돈을 내지 않으면 이렇게 이름이 공개될 것’이라는 은연 중의 협박인 것이다.공격이 완료되면 자신들이 사용한 랜섬웨어들을 흔적도 없이 지우는 게 라월드의 특징이기도 하다. 그 다음 피해자의 시스템에 SD.bat이라는 파일을 하나 심어두는데, 이는 피해자 기업의 방어 관련 폴더에서 모든 데이터를 삭제하는 기능을 가진 스크립트라고 한다. “방어 장치들이 제대로 작동하지 못하게 만드는 것이 목적입니다. ‘안전모드’ 옵션도 삭제할 정도입니다. 그 다음 강제로 컴퓨터를 재시작합니다.”라월드에 대한 방어, 어떻게?한 마디로 발놀림이 매우 가볍고, 따라서 조직 자체가 빠르고 유연하게 움직이는 게 바로 라월드라고 할 수 있다. 이럴 때 방어자들은 방어의 막을 더 두텁게 만들 필요가 있다고 트렌드마이크로는 제안한다. “외부에서 시스템 내로 들어올 때 접점이 되는 지점(엔드포인트, 이메일, 웹 인터페이스 등)을 찾아 보안을 강화하는 것이 중요합니다. 또한 관리자 권한이라는 것은 꼭 필요할 때만 최소한의 인원에게 허용하는 것을 기본 원칙으로 삼습니다. 보안 제품들도 주기적으로 점검하고 내부 트래픽도 주기적으로 스캔하는 게 좋습니다.”요즘 랜섬웨어들은 백업 드라이브도 찾아 감염시키기 때문에 백업도 소용없다고 말하는 사람들이 있는데, 트렌드마이크로는 “랜섬웨어 방어에 있어 백업은 빼놓을 수 없는 기본 및 핵심 전략”이라고 강조한다. “또한 온라인 콘텐츠를 열람하거나 다운로드 할 때 주의에 주의를 기울이는 것 역시 계속해서 강조해야 할 내용입니다.”
3줄 요약
1. 라월드라는 랜섬웨어 단체, 작년에 나타났는데 이미 두각을 나타내는 중.2. 미국과 한국 주로 노리다가 유럽과 아시아로 확장하더니 이제는 남미도 공격 중.3. 기본 페이로드는 바북이며, 공격에 필요한 다른 기술들에 적극 투자 중.
[ 보안뉴스 ] 문가용 기자원문보기