레빌과 다크사이드가 떠났나 했더니 더 골치 아픈 랜섬웨어가 등장했다. 이 랜섬웨어는 다른 무엇보다 피해 조직의 구성원들에게 접근해 ‘공격에 도움을 조금 주면 이익금을 나눠주겠다’고 꼬드기는 것으로 알려져 있다. 이런 랜섬웨어는 처음이다.
[보안뉴스 문가용 기자] 2019년에 처음 등장했던 록빗(LockBit) 랜섬웨어 공격자들이 최근 전성기를 맞이하고 있는 듯하다. 그 동안 사용해왔던 랜섬웨어 페이로드 자체가 업그레이드 됐고, 캠페인 전략은 물론 ‘구인’ 활동까지 공격적으로 변모했다. 심지어 자신들이 공격하고자 하는 조직의 내부자들을 섭외하려는 움직임이 무척이나 활발하다.
[이미지 = utoimage]
록빗이 최근 공격력을 강화시킨 건 얼마 전 랜섬웨어 강자였던 레빌(REvil)과 다크사이드(DarkSide)가 연속적으로 자취를 감추었기 때문인 것으로 분석된다. 그래서 최근 일부 보안 업체들이 이 록빗 랜섬웨어에 대한 경고의 목소리를 내기 시작했다. 그럼에도 록빗 2.0을 들고 나타난 이들은 이미 지난 주 IT 컨설턴트 계의 강자인 액센추어(Accenture)를 감염시키고 5천만 달러를 요구하기도 했다.
보안 업체 트렌드 마이크로(Trend Micro)의 경우 7월 1일부터 8월 15일 사이 록빗 공격자들이 영국, 이탈리아, 대만, 칠레의 조직들을 겨냥해 공격하는 걸 발견했다고 발표했다. 액티브 디렉토리(Active Directory) 그룹 정책을 활용해 윈도 도메인 내 장비들을 자동으로 암호화 하는 기능을 가진 록빗 2.0이 이 공격들에 활용됐다. 이 자동화 기능 하나로 록빗은 현재 가장 주목 받는 랜섬웨어의 위치에 올랐다.
록빗 2.0에 대한 트렌드 마이크로의 분석 보고서에 의하면 록빗 2.0은 파일 당 4킬로바이트의 데이터만 암호화 한다고 한다. 또한 공격의 다른 부분을 담당하는 파트너들에게 스틸비트(StealBit)라는 도구와 록빗 2.0을 함께 제공한다는 사실도 트렌드 마이크로는 알아냈다. 이 스틸비트는 자동으로 데이터를 빼돌리는 기능을 가지고 있다. 그 외에 록빗 2.0은 보안 도구와 서비스, 프로세스를 종료시키는 기능도 가지고 있는데, 이는 요즘 나오는 거의 모든 랜섬웨어에 탑재된 기능들이다.
“록빗 갱단은 계속해서 자신들의 전략과 기술을 바꾸고 발전시킵니다. 그래야 현재 유지하고 있는 ‘서비스형’ 혹은 ‘대여형’ 랜섬웨어 사업을 이어갈 수 있으니까요.” 트렌드 마이크로의 부회장인 존 클레이(Jon Clay)의 설명이다. “굵직한 경쟁자들이 시장에서 사라진 지금을 딱 노린 것처럼 등장했지만, 사실 록빗 스스로가 준비되지 않았다면 그러지 못했을 겁니다. 그렇기 때문에 다시 나타난 록빗이 무섭습니다. 준비가 된 자들일 가능성이 높기 때문입니다.”
보안 업체 팔로알토 네트웍스(Palo Alto Networks)의 위협 첩보 분석가인 도엘 산토스(Doel Santos)는 “록빗 2.0 운영자들은 100GB의 데이터를 4분 28초 안에 암호화 할 수 있다고 주장하는데, 이것이 사실이라면 다른 랜섬웨어보다 암호화 속도가 2배 이상 빠른 것”이라고 설명한다. “적어도 콘티, 레빌, 류크보다는 훨씬 빠른 것으로 보입니다.”
록빗이 ‘2.0’이라는 타이틀을 붙여서 다시 나타난 건 지난 6월의 일이다. 현재까지 영국, 미국, 아르헨티나, 호주, 오스트리아, 말레이시아, 독일, 이탈리아에서 피해가 발생했다. 피해자들은 파일 암호화와 정보 유출이라는 두 가지 협박을 받았다. 산토스는 “현재 록빗 운영자들이 정보 노출을 위해 만든 사이트에 의하면 약 52개의 조직이 피해를 입은 것으로 추정된다”고 말한다. 이 정도 수는 랜섭웨어 업계 ‘탑급’이라고 그는 설명한다.
록빗이 처음 선보인 공격 전략도 눈에 띈다. “이들은 피해자의 컴퓨터를 침해하고 배경화면을 바꿉니다. 당연히 협박 및 요구 사항이 적혀 있는 배경화면이죠. 문제는 이 요구 사항이라는 게 대단히 교묘하다는 겁니다. 어떤 장비로의 접근 권한을 공격자들에게 제공해 주면 회사가 랜섬웨어 공격자들에게 내는 돈의 일부를 주겠다는 내용입니다. 저는 이런 협박 내용을 처음 봅니다. 어쩌면 다른 랜섬웨어 공격자들도 모방할지도 모르겠습니다.”
그 외에도 록빗 운영자들은 대량의 취약점을 스캔한다거나, 크리덴셜 스터핑 및 소셜엔지니어링 공격도 실시하는 것으로 알려져 있다. 하지만 다크웹 내 다른 상인들로부터 RDP 크리덴셜을 구매하는 경우가 가장 많았다고 한다. “RDP 크리덴셜은 다크웹에서 5달러 정도에 판매되는 자원입니다. 랜섬웨어 공격자들이 피해자들로부터 받을 돈에 비하면 대단히 미미한 투자입니다. 공격을 훨씬 간단하게 만들어 주기도 하고요.”
2019년 록빗이 처음 등장했을 때, 보안 업계는 이들을 ABCD라고 불렀다. 파일을 암호화 할 때 확장자를 ABCD로 붙였기 때문이다. 보안 업체 시만텍(Symantec)은 “사이버 공격 단체의 ‘리브랜딩’은 흔히 있는 일”이라며 “보통 이전보다 공격 기술이나 전략이 크게 향상되었다는 것을 알리기 위해 이름을 바꾼다”고 설명한다. 상업적 결정일 때가 많다는 것이다. 확실히 지금의 록빗은 이전보다 더 상업적인 성공을 거두는 중이다.
3줄 요약
1. 부활한 록빗 2.0, 공격적으로 여러 국가에서 피해 일으키는 중.
2. 특이한 건 피해 조직의 일원들을 돈으로 매수하려는 움직임도 보인다는 것.
3. 각종 기법과 전략 활용할 줄 알고, 다크웹의 다른 서비스 활용하면서 공격 효율 높이기도 함.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 2019년에 처음 등장했던 록빗(LockBit) 랜섬웨어 공격자들이 최근 전성기를 맞이하고 있는 듯하다. 그 동안 사용해왔던 랜섬웨어 페이로드 자체가 업그레이드 됐고, 캠페인 전략은 물론 ‘구인’ 활동까지 공격적으로 변모했다. 심지어 자신들이 공격하고자 하는 조직의 내부자들을 섭외하려는 움직임이 무척이나 활발하다.
[이미지 = utoimage]
록빗이 최근 공격력을 강화시킨 건 얼마 전 랜섬웨어 강자였던 레빌(REvil)과 다크사이드(DarkSide)가 연속적으로 자취를 감추었기 때문인 것으로 분석된다. 그래서 최근 일부 보안 업체들이 이 록빗 랜섬웨어에 대한 경고의 목소리를 내기 시작했다. 그럼에도 록빗 2.0을 들고 나타난 이들은 이미 지난 주 IT 컨설턴트 계의 강자인 액센추어(Accenture)를 감염시키고 5천만 달러를 요구하기도 했다.
보안 업체 트렌드 마이크로(Trend Micro)의 경우 7월 1일부터 8월 15일 사이 록빗 공격자들이 영국, 이탈리아, 대만, 칠레의 조직들을 겨냥해 공격하는 걸 발견했다고 발표했다. 액티브 디렉토리(Active Directory) 그룹 정책을 활용해 윈도 도메인 내 장비들을 자동으로 암호화 하는 기능을 가진 록빗 2.0이 이 공격들에 활용됐다. 이 자동화 기능 하나로 록빗은 현재 가장 주목 받는 랜섬웨어의 위치에 올랐다.
록빗 2.0에 대한 트렌드 마이크로의 분석 보고서에 의하면 록빗 2.0은 파일 당 4킬로바이트의 데이터만 암호화 한다고 한다. 또한 공격의 다른 부분을 담당하는 파트너들에게 스틸비트(StealBit)라는 도구와 록빗 2.0을 함께 제공한다는 사실도 트렌드 마이크로는 알아냈다. 이 스틸비트는 자동으로 데이터를 빼돌리는 기능을 가지고 있다. 그 외에 록빗 2.0은 보안 도구와 서비스, 프로세스를 종료시키는 기능도 가지고 있는데, 이는 요즘 나오는 거의 모든 랜섬웨어에 탑재된 기능들이다.
“록빗 갱단은 계속해서 자신들의 전략과 기술을 바꾸고 발전시킵니다. 그래야 현재 유지하고 있는 ‘서비스형’ 혹은 ‘대여형’ 랜섬웨어 사업을 이어갈 수 있으니까요.” 트렌드 마이크로의 부회장인 존 클레이(Jon Clay)의 설명이다. “굵직한 경쟁자들이 시장에서 사라진 지금을 딱 노린 것처럼 등장했지만, 사실 록빗 스스로가 준비되지 않았다면 그러지 못했을 겁니다. 그렇기 때문에 다시 나타난 록빗이 무섭습니다. 준비가 된 자들일 가능성이 높기 때문입니다.”
보안 업체 팔로알토 네트웍스(Palo Alto Networks)의 위협 첩보 분석가인 도엘 산토스(Doel Santos)는 “록빗 2.0 운영자들은 100GB의 데이터를 4분 28초 안에 암호화 할 수 있다고 주장하는데, 이것이 사실이라면 다른 랜섬웨어보다 암호화 속도가 2배 이상 빠른 것”이라고 설명한다. “적어도 콘티, 레빌, 류크보다는 훨씬 빠른 것으로 보입니다.”
록빗이 ‘2.0’이라는 타이틀을 붙여서 다시 나타난 건 지난 6월의 일이다. 현재까지 영국, 미국, 아르헨티나, 호주, 오스트리아, 말레이시아, 독일, 이탈리아에서 피해가 발생했다. 피해자들은 파일 암호화와 정보 유출이라는 두 가지 협박을 받았다. 산토스는 “현재 록빗 운영자들이 정보 노출을 위해 만든 사이트에 의하면 약 52개의 조직이 피해를 입은 것으로 추정된다”고 말한다. 이 정도 수는 랜섭웨어 업계 ‘탑급’이라고 그는 설명한다.
록빗이 처음 선보인 공격 전략도 눈에 띈다. “이들은 피해자의 컴퓨터를 침해하고 배경화면을 바꿉니다. 당연히 협박 및 요구 사항이 적혀 있는 배경화면이죠. 문제는 이 요구 사항이라는 게 대단히 교묘하다는 겁니다. 어떤 장비로의 접근 권한을 공격자들에게 제공해 주면 회사가 랜섬웨어 공격자들에게 내는 돈의 일부를 주겠다는 내용입니다. 저는 이런 협박 내용을 처음 봅니다. 어쩌면 다른 랜섬웨어 공격자들도 모방할지도 모르겠습니다.”
그 외에도 록빗 운영자들은 대량의 취약점을 스캔한다거나, 크리덴셜 스터핑 및 소셜엔지니어링 공격도 실시하는 것으로 알려져 있다. 하지만 다크웹 내 다른 상인들로부터 RDP 크리덴셜을 구매하는 경우가 가장 많았다고 한다. “RDP 크리덴셜은 다크웹에서 5달러 정도에 판매되는 자원입니다. 랜섬웨어 공격자들이 피해자들로부터 받을 돈에 비하면 대단히 미미한 투자입니다. 공격을 훨씬 간단하게 만들어 주기도 하고요.”
2019년 록빗이 처음 등장했을 때, 보안 업계는 이들을 ABCD라고 불렀다. 파일을 암호화 할 때 확장자를 ABCD로 붙였기 때문이다. 보안 업체 시만텍(Symantec)은 “사이버 공격 단체의 ‘리브랜딩’은 흔히 있는 일”이라며 “보통 이전보다 공격 기술이나 전략이 크게 향상되었다는 것을 알리기 위해 이름을 바꾼다”고 설명한다. 상업적 결정일 때가 많다는 것이다. 확실히 지금의 록빗은 이전보다 더 상업적인 성공을 거두는 중이다.
3줄 요약
1. 부활한 록빗 2.0, 공격적으로 여러 국가에서 피해 일으키는 중.
2. 특이한 건 피해 조직의 일원들을 돈으로 매수하려는 움직임도 보인다는 것.
3. 각종 기법과 전략 활용할 줄 알고, 다크웹의 다른 서비스 활용하면서 공격 효율 높이기도 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
