랜섬웨어뉴스

       

 

랜섬웨어 제작 툴인 랜섬웨어 빌더 유출로 인해 변종 랜섬웨어들이 기승을 부리고 있다. 6월부터는 중소기업만 노리는 랜섬웨어도 활발히 활동해 80곳이 넘는 중소기업이 공격을 당했다.

이스트시큐리티는 5일 2023년 2분기 바북(babuk) 랜섬웨어 소스코드를 이용한 랜섬웨어 변종이 대거 등장했다며 주의를 당부했다.

 

 2023년 2분기 새로 발견됐거나 주목할만한 랜섬웨어 목록/ 이스트시큐리티​

 

 

2021년 1월 처음 등장한 기업용 랜섬웨어 ‘바북록커’ 랜섬웨어는 피해자에 따라 고유 확장자, 랜섬노트, Tor URL등을 달리 했을 뿐만 아니라 이중 갈취 전략을 사용하며 활발한 활동을 이어 나갔다.

그러다 2021년 6월 말 바북록커의 빌더가 온라인에 유출됐다. 랜섬웨어를 만들기 위한 대략적인 기능들은 이미 제작돼 있어 세부적인 옵션들만 사용자가 커스터마이징하면 바북록커 랜섬웨어를 제작할 수 있는 툴이다.

이 때문에 2022년 하반기와 2023년 상반기에 바북록커 소스코드를 이용해 제작된 랜섬웨어들의 변종들이 대거 발견됐다. 2023년 4월에 처음 발견된 RA Group 랜섬웨어 역시 바북록커 랜섬웨어의 유출된 코드를 활용하여 제작된 것이다.

바북 랜섬웨어 변종 대거 출현…아스트록커·암호화 가장 빠른 ‘로르샤흐’ 등

RA Group 랜섬웨어는 2023년 4월 22일 다크웹에 데이터 유출 사이트를 개설하며 외부에 알려졌다. 주로 미국과 한국의 제조, 자산관리, 보험, 제약 등의 사업 분야를 타깃으로 하며, 국내의 제약회사 한곳도 해당 랜섬웨어 그룹의 공격으로 인해 내부 정보가 유출됐다.

이 밖에도 아스트록커(AstraLocker), 마리오(Mario), RTMLocker 랜섬웨어 등 많은 랜섬웨어들이 유출된 바북록커 소스코드를 재활용해 제작된 것으로 확인됐다.

이스트시큐리티는 많은 공격자들이 바북록커 소스코드를 이용하는 이유는 리눅스(Linux) 기반의 랜섬웨어로 ESXi 서버를 대상으로 하는 공격에 사용할 수 있기 때문일 것이라고 추측했다.

올해 4월, 지금까지 발견된 랜섬웨어들 중 암호화 속도가 가장 빨랐던 록빗 3.0 랜섬웨어보다 암호화 속도가 2배 더 빠른 로르샤흐(Rorschach)라는 이름의 새로운 랜섬웨어도 발견됐다.

이 역시 바북 랜섬웨어 코드를 활용해 제작된 변종으로 확인됐다.

로르샤흐 랜섬웨어는 상용 보안 SW의 서명된 구성 요소를 사용해 유포됐다. 윈도우 도메인 컨트롤러(DC)에서 실행될 때 자동으로 그룹 정책을 생성해 네트워크를 통해 빠르게 전파되며 ‘syscall’명령을 사용해 직접 시스템 호출을 수행한다.

록빗 및 바북을 포함한 다른 많은 랜섬웨어 변종과 마찬가지로 로르샤흐 랜섬웨어 역시 전체 파일 내용이 아닌 파일의 일부만 암호화해 암호화 속도를 향상시키고 효율성을 높였다. 다만 이중 갈취를 위해 데이터를 유출하지는 않는 것으로 확인됐다.

새로 발견된 사이클롭스(Cyclops) 공격 그룹은 RaaS(Ransomware as a Service) 를 통해 윈도우, 리눅스 및 맥OS를 모두 감염시킬 수 있는 랜섬웨어를 제공한다.

맥OS(MacOS) 및 리눅스(Linux) 버전의 사이클롭스 랜섬웨어는 Go언어로 작성되어 있으며, 비대칭 암호화 및 대칭 암호화가 혼합된 복잡한 암호 알고리즘을 사용한다.

뿐만 아니라 다양한 민감 데이터를 탈취하기 위해 Go 기반의 인포스틸러도 제공한다. 이 인포스틸러는 Windows 및 Linux 시스템을 대상으로 설계되어 운영체제 정보, 컴퓨터 이름, 특정 확장자와 일치하는 파일 등의 세부정보를 캡처한다. 특정 확장자 파일에 대해서는 수집하여 원격 서버로 전송한다.

사이클롭스 랜섬웨어의 암호화 알고리즘 및 문자열 난독화 기술은 바북 랜섬웨어와 록빗 랜섬웨어와 유사해, 이 두 랜섬웨어와의 연관성이 있다고 추측되고 있다.

점점 진화하는 공격 방식…깡통 컴퓨터 만드는 랜섬웨어 ‘불법 다운로드 하지 말아야’

랜섬웨어의 공격 방식도 지속적으로 진화하고 있다. 보안 SW의 탐지를 피하기 위해 서명된 악성 윈도우 커널 드라이버를 사용하고, 최소한의 흔적만을 남겨 분석을 어렵게 하는 등이다.

또 중소기업만 노리는 랜섬웨어인 에잇베이스(8base) 랜섬웨어의 활동도 6월부터 급증했다.

2022년 3월 처음 등장했지만 활발한 활동을 하지 않았던 에잇베이스 랜섬웨어는 주로 보안이 취약한 중소기업들을 공격 대상으로 삼으며 4~5월까지는 소수의 공격만 진행했다.

그러다 6월부터 그 활동이 급증했으며 현재까지 이미 80개가 넘는 조직이 해당 랜섬웨어에 공격을 당한 것으로 확인됐다. 6월 한 달간 가장 많은 공격을 진행한 랜섬웨어 그룹 순위 중 2위를 차지하기도 했다.

에잇베이스 랜섬웨어에 대해 분석을 한 결과 랜섬노트와 유출사이트가 랜섬하우스(RansomHouse) 랜섬웨어와 매우 유사해 랜섬하우스와 관련이 있을 것으로 추정되고 있다. 하지만 또 다른 분석가는 에잇베이스 랜섬웨어가 최근 공격에서 사용한 이메일 확장자가 포보스(Phobos) 랜섬웨어가 사용한 이메일 주소와 동일한 점을 이유로 포보스 랜섬웨어와 관련이 있는 것으로 추정했다.

한 보안 전문가는 "랜섬웨어의 주된 감염 경로는 불법 다운로드와 출처가 불분명한 첨부파일 등이다"며 "뻔한 말일 수 있지만 컴퓨터를 깡통으로 만드는 랜섬웨어 예방을 위해서는 공식 사이트에서 제공하는 공식 버전 파일이 아니면 다운로드를 주의해야한다"고 말했다.

이스트코퍼레이션은 "랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있다"고 전했다.  

 

[ 조선일보 ] 이인애 기자원문보기