록빗 랜섬웨어 단체는 현재 모든 랜섬웨어 그룹 중 첫 손에 꼽힌다. 활동력도 왕성하고 큰 수익을 거두고 있다. 그런데 조직이 커지니 내부에서 잡음이 나오기 시작한 모양이다. 록빗 3.0의 중요한 요소 하나가 공개된 것이다.
[보안뉴스 문가용 기자] 랜섬웨어 조직들이 기업화 됨에 따라 보다 강력해지고 있기도 하지만 일반 기업들이 겪는 어려움을 똑같이 겪고 있기도 하다. 바로 불만을 품은 직원들이 일탈 행위를 하는 것이다. 우리는 그것을 내부자 위협이라고 부르는데, 최근 한 유명 랜섬웨어 조직에서 바로 이런 내부자 위협 관련 사건이 발생했다.
[이미지 = utoimage]
사건의 중심에 있는 랜섬웨어 단체는 록빗(LockBit)이다. 이번 주 록빗 내 개발자로 보이는 인물이 파일을 암호화 하는 인크립터의 코드를 공개했다. 그것도 가장 최신 버전인 록빗 3.0(LockBit 3.0) 혹은 록빗블랙(LockBit Black)의 것을 말이다. 현재 이 인크립터 코드는 깃허브를 통해 열람이 가능하다. 보안 업계에는 이 사건이 양날의 검으로서 작용할 전망이다.
이제 누구나 파일을 암호화할 수 있어
먼저 인크립터의 코드가 온 세상에 공개됐다는 건 이제 누구나 조금의 코딩 지식만 있으면 랜섬웨어를 만들 수 있다는 뜻이 된다. 특히 랜섬웨어 사업가(?)의 꿈을 품은 예비 범죄자들에게는 매우 희망적인 소식이다. 그냥 암호화 알고리즘이 아니라 현 시점에서 가장 앞서 있는 사이버 범죄 단체가 사용하는 최신 랜섬웨어의 빌더가 나온 것이니 말이다.
보안 업체 헌트레스랩스(Huntress Labs)의 보안 연구원 존 하몬드(John Hammond)는 “당분간 모방 랜섬웨어 범죄가 증가할 것”이라고 예측한다. “그러면서 가뜩이나 혼란스러운 랜섬웨어 세계가 더 혼란스러워질 것으로 보입니다. 실제로 소스코드나 중요한 빌더가 유출된 이전 멀웨어들의 경우, 수년 동안 비슷하지만 새로운 멀웨어의 출현을 야기하고 있습니다. 록빗 3.0이 예외일 리 없습니다.”
하지만 록빗 3.0의 중요한 구성 요소가 공개됐다는 건 보안 전문가들에게도 마찬가지인 사건이다. 즉 누군가 모조품을 만들 동안, 보안 업계는 록빗 3.0을 해부하고 분석할 수 있다는 뜻이다. 이 과정을 통해 록빗 3.0 인크립터를 기반으로 한 미래의 랜섬웨어를 막는 방법이 개발되거나 중요한 정보가 추출될 수도 있다. “적어도 록빗이라는 그룹이 어떤 수준의 작업을 하고 있는지는 확실히 알 수 있죠.”
가장 활발한 공격 단체
록빗이 처음 등장한 건 2019년이다. 그 후 꾸준히 성장해 현재는 가장 세력이 큰 랜섬웨어 조직이 되었다. 2022년 상반기 동안 보안 업체 트렌드 마이크로(Trend Micro)의 전문가들은 록빗과 관련된 공격 사례를 1843건 찾아냈다. 그 어떤 랜섬웨어 단체도 따라오지 못한 기록이었다고 한다. 또 다른 보안 업체 팔로알토 네트웍스(Palo Alto Networks)의 경우 록빗 2.0이 올해 1월~5월 사이에 발생한 모든 랜섬웨어 공격의 46%를 차지한다고 발표하기도 했다.
록빗은 전문 서비스, 도소매, 제조 분야를 주로 공격하며, 교육과 의료 분야, 그리고 자선 단체는 절대 공격하지 않겠다고 발표하기도 했었다. 그렇다고 현재까지 교육, 의료, 자선 분야에서 록빗의 공격이 한 번도 발견되지 않았던 것은 아니다. 얼마 전에는 랜섬웨어 조직 최초로 버그바운티를 진행한다고 발표하면서 자신들의 멀웨어에 대한 자신감을 나타내기도 했었다.
진짜 록빗 코드 맞아
시스코 탈로스(Cisco Talos) 팀의 보안 전문가 아짐 슈쿠히(Azim Shukuhi)는 “유출된 코드를 분석했을 때 진짜 록빗 3.0의 구성 요소가 맞는다는 것을 확인할 수 있었다”고 한다. “록빗 운영자들도 소셜미디어를 통해 유출된 빌더가 자신들이 사용해 오던 정상 빌더라고 밝혔습니다. 이것만 다운로드 받으면 이제 누구나 자신들만의 록빗을 만들 수 있게 됩니다. 당연히 복호화를 위한 키 생성기도 포함되어 있기 때문에 마음만 먹으면 랜섬웨어 사업을 시작할 수도 있습니다.”
그러나 슈쿠히는 이번에 유출된 코드를 가지고 방어에 효과적으로 활용하기는 힘들어 보인다는 의견이다. “빌더를 역설계 하는 식으로 여러 가지 정보를 얻어낼 수 있는 건 맞습니다. 하지만 그렇다고 해서 랜섬웨어 공격을 예방하거나 효과적으로 방어할 수 있다는 뜻이 되지는 않습니다. 게다가 랜섬웨어에 걸렸다고 아는 시점에는 네트워크 전체가 침해되어 있을 텐데, 지금 이 빌더를 가지고 실질적으로 향상시킬 수 있는 게 뭐가 있을까요?”
또한 슈쿠히는 “록빗 운영자들은 바보가 아니다”라고 지적한다. “빌더가 유출된 것을 이제 그들도 알고 있어요. 그러면 손 놓고 가만히 있지 않겠죠. 새로운 빌더를 이미 만들기 시작했을 겁니다. 그래야 자신들이 만드는 다음 랜섬웨어가 쉽게 막히는 일이 없어질 테니까요. 랜섬웨어가 이들에게는 중요한 사업이기 때문에 이번 일로 손상된 이미지를 회복하기 위해 여러 가지 방안을 마련하고 있을 겁니다.”
하몬드 역시 이 일로 록빗이라는 브랜드 이미지가 꽤나 하락했을 거라고 보고 있다. “물론 치명적으로 손상을 입은 건 아닙니다. 조금 창피한 일이긴 하겠죠. 록빗은 스스로를 엄청난 전문가로 포장하고 있던 그룹이거든요. 이런 작은 실수가 꽤 부끄러울 겁니다. 하지만 자신들의 도구를 조금 업그레이드 하고 다시 일어설 것이고, 정상적으로 활동을 시작할 겁니다. 록빗을 추정하던 공격 단체가 이번에 공개된 빌더를 활용해 새로 활동을 시작할 가능성도 높고요. 우리는 록빗의 창궐 직전의 시기를 지나고 있는지도 모릅니다.”
3줄 요약
1. 록빗 내부에서 배신자 한 명 나와 록빗의 인크립터 코드를 깃허브에 공개.
2. 앞으로 꽤 많은 록빗 모방 범죄가 성행할 것으로 보임.
3. 방어에도 도움이 될 것이라는 의견이 있고, 그렇지 않을 거라는 의견도 있고.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 랜섬웨어 조직들이 기업화 됨에 따라 보다 강력해지고 있기도 하지만 일반 기업들이 겪는 어려움을 똑같이 겪고 있기도 하다. 바로 불만을 품은 직원들이 일탈 행위를 하는 것이다. 우리는 그것을 내부자 위협이라고 부르는데, 최근 한 유명 랜섬웨어 조직에서 바로 이런 내부자 위협 관련 사건이 발생했다.
[이미지 = utoimage]
사건의 중심에 있는 랜섬웨어 단체는 록빗(LockBit)이다. 이번 주 록빗 내 개발자로 보이는 인물이 파일을 암호화 하는 인크립터의 코드를 공개했다. 그것도 가장 최신 버전인 록빗 3.0(LockBit 3.0) 혹은 록빗블랙(LockBit Black)의 것을 말이다. 현재 이 인크립터 코드는 깃허브를 통해 열람이 가능하다. 보안 업계에는 이 사건이 양날의 검으로서 작용할 전망이다.
이제 누구나 파일을 암호화할 수 있어
먼저 인크립터의 코드가 온 세상에 공개됐다는 건 이제 누구나 조금의 코딩 지식만 있으면 랜섬웨어를 만들 수 있다는 뜻이 된다. 특히 랜섬웨어 사업가(?)의 꿈을 품은 예비 범죄자들에게는 매우 희망적인 소식이다. 그냥 암호화 알고리즘이 아니라 현 시점에서 가장 앞서 있는 사이버 범죄 단체가 사용하는 최신 랜섬웨어의 빌더가 나온 것이니 말이다.
보안 업체 헌트레스랩스(Huntress Labs)의 보안 연구원 존 하몬드(John Hammond)는 “당분간 모방 랜섬웨어 범죄가 증가할 것”이라고 예측한다. “그러면서 가뜩이나 혼란스러운 랜섬웨어 세계가 더 혼란스러워질 것으로 보입니다. 실제로 소스코드나 중요한 빌더가 유출된 이전 멀웨어들의 경우, 수년 동안 비슷하지만 새로운 멀웨어의 출현을 야기하고 있습니다. 록빗 3.0이 예외일 리 없습니다.”
하지만 록빗 3.0의 중요한 구성 요소가 공개됐다는 건 보안 전문가들에게도 마찬가지인 사건이다. 즉 누군가 모조품을 만들 동안, 보안 업계는 록빗 3.0을 해부하고 분석할 수 있다는 뜻이다. 이 과정을 통해 록빗 3.0 인크립터를 기반으로 한 미래의 랜섬웨어를 막는 방법이 개발되거나 중요한 정보가 추출될 수도 있다. “적어도 록빗이라는 그룹이 어떤 수준의 작업을 하고 있는지는 확실히 알 수 있죠.”
가장 활발한 공격 단체
록빗이 처음 등장한 건 2019년이다. 그 후 꾸준히 성장해 현재는 가장 세력이 큰 랜섬웨어 조직이 되었다. 2022년 상반기 동안 보안 업체 트렌드 마이크로(Trend Micro)의 전문가들은 록빗과 관련된 공격 사례를 1843건 찾아냈다. 그 어떤 랜섬웨어 단체도 따라오지 못한 기록이었다고 한다. 또 다른 보안 업체 팔로알토 네트웍스(Palo Alto Networks)의 경우 록빗 2.0이 올해 1월~5월 사이에 발생한 모든 랜섬웨어 공격의 46%를 차지한다고 발표하기도 했다.
록빗은 전문 서비스, 도소매, 제조 분야를 주로 공격하며, 교육과 의료 분야, 그리고 자선 단체는 절대 공격하지 않겠다고 발표하기도 했었다. 그렇다고 현재까지 교육, 의료, 자선 분야에서 록빗의 공격이 한 번도 발견되지 않았던 것은 아니다. 얼마 전에는 랜섬웨어 조직 최초로 버그바운티를 진행한다고 발표하면서 자신들의 멀웨어에 대한 자신감을 나타내기도 했었다.
진짜 록빗 코드 맞아
시스코 탈로스(Cisco Talos) 팀의 보안 전문가 아짐 슈쿠히(Azim Shukuhi)는 “유출된 코드를 분석했을 때 진짜 록빗 3.0의 구성 요소가 맞는다는 것을 확인할 수 있었다”고 한다. “록빗 운영자들도 소셜미디어를 통해 유출된 빌더가 자신들이 사용해 오던 정상 빌더라고 밝혔습니다. 이것만 다운로드 받으면 이제 누구나 자신들만의 록빗을 만들 수 있게 됩니다. 당연히 복호화를 위한 키 생성기도 포함되어 있기 때문에 마음만 먹으면 랜섬웨어 사업을 시작할 수도 있습니다.”
그러나 슈쿠히는 이번에 유출된 코드를 가지고 방어에 효과적으로 활용하기는 힘들어 보인다는 의견이다. “빌더를 역설계 하는 식으로 여러 가지 정보를 얻어낼 수 있는 건 맞습니다. 하지만 그렇다고 해서 랜섬웨어 공격을 예방하거나 효과적으로 방어할 수 있다는 뜻이 되지는 않습니다. 게다가 랜섬웨어에 걸렸다고 아는 시점에는 네트워크 전체가 침해되어 있을 텐데, 지금 이 빌더를 가지고 실질적으로 향상시킬 수 있는 게 뭐가 있을까요?”
또한 슈쿠히는 “록빗 운영자들은 바보가 아니다”라고 지적한다. “빌더가 유출된 것을 이제 그들도 알고 있어요. 그러면 손 놓고 가만히 있지 않겠죠. 새로운 빌더를 이미 만들기 시작했을 겁니다. 그래야 자신들이 만드는 다음 랜섬웨어가 쉽게 막히는 일이 없어질 테니까요. 랜섬웨어가 이들에게는 중요한 사업이기 때문에 이번 일로 손상된 이미지를 회복하기 위해 여러 가지 방안을 마련하고 있을 겁니다.”
하몬드 역시 이 일로 록빗이라는 브랜드 이미지가 꽤나 하락했을 거라고 보고 있다. “물론 치명적으로 손상을 입은 건 아닙니다. 조금 창피한 일이긴 하겠죠. 록빗은 스스로를 엄청난 전문가로 포장하고 있던 그룹이거든요. 이런 작은 실수가 꽤 부끄러울 겁니다. 하지만 자신들의 도구를 조금 업그레이드 하고 다시 일어설 것이고, 정상적으로 활동을 시작할 겁니다. 록빗을 추정하던 공격 단체가 이번에 공개된 빌더를 활용해 새로 활동을 시작할 가능성도 높고요. 우리는 록빗의 창궐 직전의 시기를 지나고 있는지도 모릅니다.”
3줄 요약
1. 록빗 내부에서 배신자 한 명 나와 록빗의 인크립터 코드를 깃허브에 공개.
2. 앞으로 꽤 많은 록빗 모방 범죄가 성행할 것으로 보임.
3. 방어에도 도움이 될 것이라는 의견이 있고, 그렇지 않을 거라는 의견도 있고.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
