랜섬웨어뉴스

마이크로소프트가 포니파이널(PonyFinal)이라는 랜섬웨어의 정보를 공개했다. 포니파이널은 랜섬웨어 운영자가 수동적인 방법으로 공격을 진행하는 것으로 알려져 있다. 이런 류의 랜섬웨어는 자동화 기술을 사용했을 때보다 공격을 광범위하게 할 수는 없지만 피해자에 따라 맞춤형 공격을 할 수 있어 더 높은 금액을 요구하기에 유리하다고 한다. 따라서 랜섬웨어 공격자들 사이에서 인기가 올라가는 중이다.

포니파이널과 비슷한 방식으로 운영되는 랜섬웨어에는 비트페이머(Bitpaymer), 류크(Ryuk), 레빌(REvil), 사마스(Samas) 등이 있다. 이중 포니파이널을 MS가 집중적으로 파헤치기 시작한 건 4월 초부터라고 위협 보호 국장인 필립 미스너(Phillip Misner)는 설명한다. “여러 유명 랜섬웨어들이 있지만, 결국 한 가지 방식으로 운영되는 랜섬웨어의 변종들이라고도 볼 수 있습니다. 크리덴셜을 훔치고 네트워크 내에서 횡적으로 움직임으로써 표적을 좀 더 샅샅이 파악한 후에 가장 알맞은 랜섬웨어를 골라 공격을 실시하는 것이죠.”

포니파이널 공격의 경우 주로 두 가지 방식으로 시작된다. 하나는 공격 대상의 시스템 관리 서버를 브루트포스 공격으로 뚫어내는 건데, 이 경우 공격자들은 VB스크립트를 통해 파워셸 리버스 셸을 실행시킨다. 혹은 원격 조정 시스템을 통해 이벤트 로깅을 피해가기도 한다. 그 외에 패치가 되지 않은 오류들을 익스플로잇 함으로써 접근에 성공하기도 한다.

또한 공격자들은 자바 런타임 환경(JRE)을 실행시키기도 한다. 포니파이널이 자바를 기반으로 하고 있기 때문이다. 하지만 정찰 활동을 통해 JRE가 설치된 엔드포인트들을 찾아 공격하는 흔적도 발견됐다. 미스너는 “정말 조심스러운 행적”이라고 이를 분석한다. “어쩔 수 없을 때는 JRE를 따로 설치하지만, 되도록 이미 설치되어 있는 장비를 노린다는 건 최대한 들키지 않으려는 의도가 있기 때문입니다.”

마이크로소프트는 이렇게 사람이 수동적으로 운영하는 랜섬웨어 공격을 ‘인간 운영형 랜섬웨어(human-operated ransomware)’라고 부른다. 미스너는 “자동화 랜섬웨어 공격과는 전혀 다른 종류의 위협으로 간주해야 한다”고 설명한다. “일반적인 랜섬웨어들의 배후에는 봇이 있습니다. 봇의 배후에 사람이 있죠. 그런 경우 피해가 발생한다고 해서 공격자가 곧바로 그 사실을 인지하지 않습니다. 최초에 배포한 랜섬웨어가 인터넷 어디를 돌아다니고 있는지 추적하지도 않습니다. 그래서 공격자가 이미 폐기처분한 랜섬웨어가 한참 뒤에 피해자를 만들기도 하죠.”

미스너는 “앞으로 이런 공격이 유행할 것”이라고 예상한다. 그러면서 “인터넷에 연결된 디지털 자산들을 강력하게 보호하고, 늘 최신 버전을 유지해야 한다”고 권고한다. “각종 설정 사항들과 환경 내 비정상적인 활동들을 늘 모니터링 하는 것도 잊지 말아야 합니다. 권한 허용도 최소화 하는 게 좋습니다.”

[ 보안뉴스  ] 문가용 기자 원문보기