랜섬웨어가 계속해서 발전하고 있다. 고객들의 요청에 따라 이뤄지는 자연스러운 현상이다. 여기에다가 러시아-우크라이나 전쟁이 터지면서 고객들이 사이버전에 준하는 공격을 실시하고 싶어 하게 됐고, 랜섬웨어도 그에 발을 맞추는 상황이다.
[보안뉴스 문가용 기자] 악명 높은 랜섬웨어 공격 그룹인 록빗(LockBit)이 최신판 랜섬웨어를 내놓았다. 이를 역설계 했더니 상당히 많은 부분에서 향상이 있었음이 드러났다. 특히 분석 방해 및 탐지 회피 기능이 크게 좋아졌다고 한다. 이 버전에는 록빗 3.0 혹은 록빗 블랙(LockBit Black)이라는 이름이 붙었다.
[이미지 = utoimage]
보안 업체 트렌드 마이크로(Trend Micro)의 부회장 존 클레이(Jon Clay)는 “랜섬웨어 공격자들이 점점 더 능동적으로 변화하고 있다는 것은 부정할 수 없는 사실”이라고 말한다. “방어의 기술이 좋아지기도 하고, 사법기관의 움직임이 더 활발해지고 있기도 하죠. 가만히 있을 수가 없는 분위기라는 겁니다. 향상에 추진력이 더해졌습니다.”
랜섬웨어 공격자들의 향상을 부추기는 건 보안 업계나 경찰들만이 아니다. 다크웹에도 경쟁자들이 득실거린다. 랜섬웨어를 대여하는 사업이 한창 붐이기 때문에 특별한 장점을 보여주지 않으면 다크웹의 소비자들로부터 외면을 받는다. 탐지될 위험을 줄였다든지, 추적을 방해한다든지 하는 강점을 내세워야 홍보가 된다. 이는 이그레고르(Egregor) 랜섬웨어의 주요 특징이다.
록빗 3.0의 경우 이런 기능들에 더해 사용 가능한 API를 목록화 하는 기능도 갖췄는데, 이는 블랙매터(BlackMatter)라는 랜섬웨어에도 있던 것이다. 즉 여러 가지 랜섬웨어들의 장점들을 맞춰놓은 것이 록빗 3.0이라고 볼 수 있다는 게 트렌드 마이크로의 설명이다.
이탈리아 조세국에서 발생한 랜섬웨어 공격
이번 달 초, 이탈리아의 조세국에서 랜섬웨어 사건이 발생했다. 록빗에 일부 시스템이 감염된 것이었다. 록빗은 조세국으로부터 78GB의 데이터를 빼돌린 뒤 전부 암호화 하여 사용할 수 없게 만들었다고 발표했다. 보안 업체 피아노(Piiano)의 CEO 길 다바(Gil Dabah)는 “이 공격은 단순히 한 정부 기관만의 문제가 아니라 이탈리아 국민들 모두를 위협하는 사건”이라고 설명한다. “이탈리아에서 세금을 내는 모든 사람들의 정보가 침해된 것이니까요. 개인정보가 록빗의 손에 넘어갔을 가능성이 높습니다.”
러시아의 우크라이나 침공 이후 러시아를 기반으로 한 랜섬웨어 그룹들은 러시아를 지지하고 나섰다. “여기에 동조하는 랜섬웨어 소비자들은 적국의 정부 기관을 공격할 수 있을 정도의 기능을 추가해 달라고 요구하기 시작했습니다. 랜섬웨어 운영자들로서는 소비자들의 강력한 요구로 업그레이드를 할 수밖에 없는 상황에 처한 것입니다.” 보안 업체 아이보스(iBoss)의 CEO 폴 마티니(Paul Martini)의 설명이다.
“그러면서 또 다른 사이버 전쟁이 시작되고 있습니다. 러시아를 지지하는 민간 사이버 범죄자들이 강화된 랜섬웨어를 가지고 자발적으로 타 국가의 여러 시설들을 공격하고 있을 뿐만 아니라 각종 허위 정보와 가짜뉴스를 살포하기도 합니다. 이러한 움직임에의 수요가 다크웹에 반영되고 있고, 곧 서방 국가들은 정부 주도가 아니라 민간 주도의 사이버전을 맞이하게 될 것입니다.”
록빗의 배후에 있는 조직은 행복한 한 해를 보내고 있다. 가장 큰 규모를 자랑했던 랜섬웨어 조직인 콘티(Conti)가 사라지면서 경쟁 구도에서 우위를 점할 수 있게 됐다. 그러면서 현재 가장 많은 공격 사건에서 발견되는 랜섬웨어로 등극했다. 보안 업체 NCC그룹(NCC Group)이 지난 5월 조사한 바에 의하면 모든 랜섬웨어 공격의 40%가 록빗과 관련이 있다고 한다. 그러나 록빗 운영자들은 거기서 만족하지 않았다.
록빗 3.0, 무엇이 달라졌는가?
록빗 3.0에서 가장 먼저 눈에 띄는 변화는 시스템 API 정보를 수집하는 기능이 추가됐다는 사실이다. 합법적, 정상적인 기능들을 공격에 활용하기 위함으로 보이며, 설정 데이터와 코드를 암호화 할 때도 이 API 정보가 활용되는 것으로 분석됐다. 또 역설계 행위를 최대한 방해하기 위한 기능들도 중요한 변화다. 디버거를 마비시키기 위한 기능도 추가됐고, 실행 코드의 본체를 복호화 할 때 비밀번호를 입력해야만 하도록 구성되어 있다.
클레이는 “록빗 운영자들은 공격 도구의 업그레이드를 스스로 할 수 있다는 것을 자랑스럽게 여기고 있다”고 설명한다. “3.0 버전에는 정말 많은 기능이 추가됐습니다. 2.0 때 보안 분석가들이 자신들의 뒤를 쫓는 게 매우 귀찮았던 모양인지, 그 부분에 있어 많은 투자를 감행한 것이 노골적으로 나타날 정도입니다. 록빗 3.0을 분석하는 게 불가능하지야 않지만 2.0에 비해 상당히 어려워진 게 사실입니다.”
그렇다고 해서 현존하는 랜섬웨어 방어법이 무력화 된 건 아니라고 클레이는 강조한다. “다중 인증은 현존하는 최초 침투 전략 대부분을 무력화시키는 좋은 방어 기법입니다. 랜섬웨어 공격자들도 크리덴션을 훔치거나 구매해서 인증 과정을 통과하는 방식으로 최초 침투를 많이 하는 편입니다. 그러므로 크리덴셜만으로 접속되지 않도록 하는 다중 인증은 여전히 랜섬웨어의 중요한 방어법입니다. 또한 데이터 백업을 주기적으로 함으로써 사업을 지속시키게 하는 것도 여전히 랜섬웨어의 중요한 방법 대책입니다.”
3줄 요약
1. 록빗 랜섬웨어 운영자들, 3.0 버전 내놓으면 무기를 최신화.
2. 이그레고르와 블랙매터 등 타 랜섬웨어의 장점들을 탑재.
3. 러시아 랜섬웨어 고객들, 사이버전에 준하는 공격 실시하기 시작.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 악명 높은 랜섬웨어 공격 그룹인 록빗(LockBit)이 최신판 랜섬웨어를 내놓았다. 이를 역설계 했더니 상당히 많은 부분에서 향상이 있었음이 드러났다. 특히 분석 방해 및 탐지 회피 기능이 크게 좋아졌다고 한다. 이 버전에는 록빗 3.0 혹은 록빗 블랙(LockBit Black)이라는 이름이 붙었다.
[이미지 = utoimage]
보안 업체 트렌드 마이크로(Trend Micro)의 부회장 존 클레이(Jon Clay)는 “랜섬웨어 공격자들이 점점 더 능동적으로 변화하고 있다는 것은 부정할 수 없는 사실”이라고 말한다. “방어의 기술이 좋아지기도 하고, 사법기관의 움직임이 더 활발해지고 있기도 하죠. 가만히 있을 수가 없는 분위기라는 겁니다. 향상에 추진력이 더해졌습니다.”
랜섬웨어 공격자들의 향상을 부추기는 건 보안 업계나 경찰들만이 아니다. 다크웹에도 경쟁자들이 득실거린다. 랜섬웨어를 대여하는 사업이 한창 붐이기 때문에 특별한 장점을 보여주지 않으면 다크웹의 소비자들로부터 외면을 받는다. 탐지될 위험을 줄였다든지, 추적을 방해한다든지 하는 강점을 내세워야 홍보가 된다. 이는 이그레고르(Egregor) 랜섬웨어의 주요 특징이다.
록빗 3.0의 경우 이런 기능들에 더해 사용 가능한 API를 목록화 하는 기능도 갖췄는데, 이는 블랙매터(BlackMatter)라는 랜섬웨어에도 있던 것이다. 즉 여러 가지 랜섬웨어들의 장점들을 맞춰놓은 것이 록빗 3.0이라고 볼 수 있다는 게 트렌드 마이크로의 설명이다.
이탈리아 조세국에서 발생한 랜섬웨어 공격
이번 달 초, 이탈리아의 조세국에서 랜섬웨어 사건이 발생했다. 록빗에 일부 시스템이 감염된 것이었다. 록빗은 조세국으로부터 78GB의 데이터를 빼돌린 뒤 전부 암호화 하여 사용할 수 없게 만들었다고 발표했다. 보안 업체 피아노(Piiano)의 CEO 길 다바(Gil Dabah)는 “이 공격은 단순히 한 정부 기관만의 문제가 아니라 이탈리아 국민들 모두를 위협하는 사건”이라고 설명한다. “이탈리아에서 세금을 내는 모든 사람들의 정보가 침해된 것이니까요. 개인정보가 록빗의 손에 넘어갔을 가능성이 높습니다.”
러시아의 우크라이나 침공 이후 러시아를 기반으로 한 랜섬웨어 그룹들은 러시아를 지지하고 나섰다. “여기에 동조하는 랜섬웨어 소비자들은 적국의 정부 기관을 공격할 수 있을 정도의 기능을 추가해 달라고 요구하기 시작했습니다. 랜섬웨어 운영자들로서는 소비자들의 강력한 요구로 업그레이드를 할 수밖에 없는 상황에 처한 것입니다.” 보안 업체 아이보스(iBoss)의 CEO 폴 마티니(Paul Martini)의 설명이다.
“그러면서 또 다른 사이버 전쟁이 시작되고 있습니다. 러시아를 지지하는 민간 사이버 범죄자들이 강화된 랜섬웨어를 가지고 자발적으로 타 국가의 여러 시설들을 공격하고 있을 뿐만 아니라 각종 허위 정보와 가짜뉴스를 살포하기도 합니다. 이러한 움직임에의 수요가 다크웹에 반영되고 있고, 곧 서방 국가들은 정부 주도가 아니라 민간 주도의 사이버전을 맞이하게 될 것입니다.”
록빗의 배후에 있는 조직은 행복한 한 해를 보내고 있다. 가장 큰 규모를 자랑했던 랜섬웨어 조직인 콘티(Conti)가 사라지면서 경쟁 구도에서 우위를 점할 수 있게 됐다. 그러면서 현재 가장 많은 공격 사건에서 발견되는 랜섬웨어로 등극했다. 보안 업체 NCC그룹(NCC Group)이 지난 5월 조사한 바에 의하면 모든 랜섬웨어 공격의 40%가 록빗과 관련이 있다고 한다. 그러나 록빗 운영자들은 거기서 만족하지 않았다.
록빗 3.0, 무엇이 달라졌는가?
록빗 3.0에서 가장 먼저 눈에 띄는 변화는 시스템 API 정보를 수집하는 기능이 추가됐다는 사실이다. 합법적, 정상적인 기능들을 공격에 활용하기 위함으로 보이며, 설정 데이터와 코드를 암호화 할 때도 이 API 정보가 활용되는 것으로 분석됐다. 또 역설계 행위를 최대한 방해하기 위한 기능들도 중요한 변화다. 디버거를 마비시키기 위한 기능도 추가됐고, 실행 코드의 본체를 복호화 할 때 비밀번호를 입력해야만 하도록 구성되어 있다.
클레이는 “록빗 운영자들은 공격 도구의 업그레이드를 스스로 할 수 있다는 것을 자랑스럽게 여기고 있다”고 설명한다. “3.0 버전에는 정말 많은 기능이 추가됐습니다. 2.0 때 보안 분석가들이 자신들의 뒤를 쫓는 게 매우 귀찮았던 모양인지, 그 부분에 있어 많은 투자를 감행한 것이 노골적으로 나타날 정도입니다. 록빗 3.0을 분석하는 게 불가능하지야 않지만 2.0에 비해 상당히 어려워진 게 사실입니다.”
그렇다고 해서 현존하는 랜섬웨어 방어법이 무력화 된 건 아니라고 클레이는 강조한다. “다중 인증은 현존하는 최초 침투 전략 대부분을 무력화시키는 좋은 방어 기법입니다. 랜섬웨어 공격자들도 크리덴션을 훔치거나 구매해서 인증 과정을 통과하는 방식으로 최초 침투를 많이 하는 편입니다. 그러므로 크리덴셜만으로 접속되지 않도록 하는 다중 인증은 여전히 랜섬웨어의 중요한 방어법입니다. 또한 데이터 백업을 주기적으로 함으로써 사업을 지속시키게 하는 것도 여전히 랜섬웨어의 중요한 방법 대책입니다.”
3줄 요약
1. 록빗 랜섬웨어 운영자들, 3.0 버전 내놓으면 무기를 최신화.
2. 이그레고르와 블랙매터 등 타 랜섬웨어의 장점들을 탑재.
3. 러시아 랜섬웨어 고객들, 사이버전에 준하는 공격 실시하기 시작.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
