.gif)
요 2년 사이 최초 접근 브로커들이 크게 늘어났다. 이들은 온갖 유형의 사이버 범죄를 촉진시키고 있어 문제가 크다. 특히 랜섬웨어 공격을 한층 더 쉽고 파괴적으로 만들어준다. 심지어 최근 서비스 가격도 내려가고 품질이 올라가기도 했다.
[보안뉴스 문가용 기자] 일반적으로 보안 팀들에게 노벨리(Novelli), 오렌지케이크(orangecake), 파이럿네트웍스(Pirat-Networks), 서브커맨던트VPN(SubComandanteVPN), 지로치카(zirochka)와 같은 이름은 그리 익숙한 것이 아닐 것이다. 하지만 랜섬웨어 운영자은 물론 여러 사이버 범죄자들에게 있어 이들은 꽤나 친숙한 이름이다. 그렇지 않더라도 조만간 친숙해질 것이다. 이들은 지난 해부터 급성장한 ‘최초 접근 브로커(initial access broker)’ 시장에 두각을 나타내고 있는 업주들이기 때문이다.
[이미지 = utoimage]
언급된 다섯 개의 조직들은 2021년 하반기와 2022년 전반기 동안 다크웹에서 판매된 수많은 침투 경로들 중 25%를 개발해 판매했다. 평균 2800달러만 지불하면 이들은 기업의 VPN 접속 크리덴셜이나 원격 데스크톱 프로토콜 계정 정보를 가져다 준다. 그러면 랜섬웨어 그룹이든 다른 멀웨어 그룹이든 이것을 사용해 원하는 네트워크에 접속해 들어가 악성 코드를 심는다. 이런 식으로 전 세계 2300개 이상의 조직들이 뚫렸고, 여러 가지 형태의 피해를 봤다.
성장하고 있기도 하지만 이미 방대한 시장
이 다섯 개 조직이 워낙 시장을 꽉 잡고 있어서 그렇지 최초 접근 브로커들의 수는 수백 개에 달한다. 이에 대하여 보안 업체 그룹IB(Group-IB)가 조사해 발표했다. 보고서에 의하면 불과 1년 사이(2021년 하반기~2022년 상반기)에 최초 접근 브로커 조직의 수는 262개에서 380개로 훌쩍 뛰었다고 한다. 이 380개 조직들 중 상당 수가 해당 기간에 사업을 처음 시작한 것이었다.
“접근 경로를 판매하는 사업 아이템이 많아지고 있기도 하지만 다양해지고 있기까지 해서 문제”라고 그룹IB의 CEO인 드미트리 볼코브(Dmitry Volkov)는 설명한다. “일반 경제에 석유 판매자들이 있는 것처럼, 지하 경제에는 접근 브로커들이 있습니다. 석유가 있어 다른 산업들이 돌아가듯이, 접근 브로커들이 있어 지하의 다양한 악성 행위들이 힘을 얻습니다. 심지어 랜섬웨어와 국가 해커전 부대들까지도 이들 덕분에 훨씬 원활하게 작전을 펼칠 수 있습니다.”
볼코브의 설명처럼 IAB들은 다른 악성 행위를 촉진시키기 때문에 다른 유형의 사이버 범죄 활동이 번창하는 것보다 문제가 된다. ‘최초 침투’라는 어려운 문제를 대신 해결해주는 건데, 사이버 범죄에 있어 최초 침투만큼 어려운 건 없다고 봐도 무방하다. “랜섬웨어를 개발하는 것도, 피해자와 협상을 하는 것도, 조직원을 모으는 것도, 돈을 세탁하는 것도, 최초로 침투하는 것만큼 어렵지는 않습니다.”
그러면 이들은 정확히 뭘 파는 것일까? “네트워크에 접속할 수 있게 해 주는 크리덴셜을 판매하는 유형이 가장 많습니다. VPN, RDP 서비스, 액티브 디렉토리, 원격 관리 패널 등 네트워크에 발을 걸치게 해 주는 기능에 로그인을 정상적으로 할 수 있게 해 주는 것이죠. 혹은 피해자 시스템에 웹셸을 심어두어 자유자재로 드나들 수 있게 해 놓은 다음, 해당 웹셸로의 접근 권한을 판매하기도 합니다.”
랜섬웨어 경제의 촉진자
최초 접근 브로커들은 돈만 제대로 준다면 누구에게나 자신의 아이템을 판매한다. 이런 류의 사업자들은 지난 2년 동안 다크웹에서 크게 늘어났다. 사실 아이템이 아무리 좋다 한들 사는 사람이 없다면 산업이 성장하기는 힘들다. 이들의 수가 크게 늘어나고 사업이 호황기를 맞이했다는 건 누군가 이들과 대량의 거래를 했다는 것이다. 이 문제의 거래자 혹은 어둠의 후원자는 같은 시기에 폭발적으로 번창한 랜섬웨어 운영자들이다.
보안 업체 켈라(KELA)가 연구한 바에 의하면 주요 랜섬웨어 조직인 하이브(Hive), 소디노키비(Sodinokibi), 블랙바이트(BlackByte), 퀀텀(Quantum) 등이 대표적으로 최초 접근 브로커라는 날개를 달고 성장한 자들이라고 한다. 악명 높은 콘티(Conti) 랜섬웨어 운영자들도 심심찮게 최초 접근 브로커들과 파트너십을 맺고 캠페인을 진행한다. 특히 콘티는 러시아 정부를 돕기 위해 우크라이나 정부를 공격하기 위해 접근 브로커들과 손을 잡기도 했었다.
그룹IB에 의하면 현존하는 접근 브로커들이 가장 많이 판매하는 건 RDP와 VPN 계정 정보라고 한다. 47%가 관리자 권한으로 접근할 수 있을 만한 크리덴셜이라고 하며, 28%는 도메인 관리자 권한과 관련이 있고, 23%가 일반 사용자 권한으로 접근할 수 있게 해 주는 것으로 조사됐다. 루트 권한을 주는 경우도 있긴 한데, 극소수다. 시트릭스(Citrix) 제품 환경에 대한 접근 권한을 전문적으로 판매하는 브로커들도 있고, 유명 CMS와 클라우드 서버들에 집중하는 단체들도 존재한다고 그룹IB는 보고서를 통해 밝혔다.
“보다 능동적이고 침습적인 접근 방법을 제공하는 조직들도 있습니다. 미리 피해자의 네트워크에 들어가 웹셸을 심어두기도 하고, 심지어 횡적 움직임을 가능하게 하는 코발트 스트라이크(Cobalt Strike)나 메타스플로잇(Metasploit) 페이로드를 설치해서 최초 접근만이 아니라 그 후 이동 경로까지 확보하기도 합니다. RDP나 VPN 크리덴셜을 판매하는 자들보다 흔하지는 않지만 어느 정도 보이는 유형이죠.” 접근 브로커들이 가장 많이 노리는 산업은 제조, 금융, 부동산, 교육, 정보 기술인 것으로 나타났다.
접근 브로커들의 전성시대라고 볼 수 있지만, 이것이 내부적으로는 그리 긍정적인 것만은 아니라고 그룹IB는 설명하기도 한다. “너무나 많은 조직들이 생겨나니 서비스의 가격이 내려가기 시작했습니다. 경쟁이 심화되고 있는 것이죠. 물론 그러면서 서비스 품질이 높아진다는 면도 있습니다.”
3줄 요약
1. 최초 접근 브로커로 불리는 유형의 공격 단체들, 최근 지나치게 늘어남.
2. 이들은 마치 석유와 같아서 온갖 악성 행위들의 연료가 되고 있음.
3. RDP와 VPN 크리덴셜을 판매하기도 하고, 웹셸을 심어두기도 하고.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 일반적으로 보안 팀들에게 노벨리(Novelli), 오렌지케이크(orangecake), 파이럿네트웍스(Pirat-Networks), 서브커맨던트VPN(SubComandanteVPN), 지로치카(zirochka)와 같은 이름은 그리 익숙한 것이 아닐 것이다. 하지만 랜섬웨어 운영자은 물론 여러 사이버 범죄자들에게 있어 이들은 꽤나 친숙한 이름이다. 그렇지 않더라도 조만간 친숙해질 것이다. 이들은 지난 해부터 급성장한 ‘최초 접근 브로커(initial access broker)’ 시장에 두각을 나타내고 있는 업주들이기 때문이다.
[이미지 = utoimage]
언급된 다섯 개의 조직들은 2021년 하반기와 2022년 전반기 동안 다크웹에서 판매된 수많은 침투 경로들 중 25%를 개발해 판매했다. 평균 2800달러만 지불하면 이들은 기업의 VPN 접속 크리덴셜이나 원격 데스크톱 프로토콜 계정 정보를 가져다 준다. 그러면 랜섬웨어 그룹이든 다른 멀웨어 그룹이든 이것을 사용해 원하는 네트워크에 접속해 들어가 악성 코드를 심는다. 이런 식으로 전 세계 2300개 이상의 조직들이 뚫렸고, 여러 가지 형태의 피해를 봤다.
성장하고 있기도 하지만 이미 방대한 시장
이 다섯 개 조직이 워낙 시장을 꽉 잡고 있어서 그렇지 최초 접근 브로커들의 수는 수백 개에 달한다. 이에 대하여 보안 업체 그룹IB(Group-IB)가 조사해 발표했다. 보고서에 의하면 불과 1년 사이(2021년 하반기~2022년 상반기)에 최초 접근 브로커 조직의 수는 262개에서 380개로 훌쩍 뛰었다고 한다. 이 380개 조직들 중 상당 수가 해당 기간에 사업을 처음 시작한 것이었다.
“접근 경로를 판매하는 사업 아이템이 많아지고 있기도 하지만 다양해지고 있기까지 해서 문제”라고 그룹IB의 CEO인 드미트리 볼코브(Dmitry Volkov)는 설명한다. “일반 경제에 석유 판매자들이 있는 것처럼, 지하 경제에는 접근 브로커들이 있습니다. 석유가 있어 다른 산업들이 돌아가듯이, 접근 브로커들이 있어 지하의 다양한 악성 행위들이 힘을 얻습니다. 심지어 랜섬웨어와 국가 해커전 부대들까지도 이들 덕분에 훨씬 원활하게 작전을 펼칠 수 있습니다.”
볼코브의 설명처럼 IAB들은 다른 악성 행위를 촉진시키기 때문에 다른 유형의 사이버 범죄 활동이 번창하는 것보다 문제가 된다. ‘최초 침투’라는 어려운 문제를 대신 해결해주는 건데, 사이버 범죄에 있어 최초 침투만큼 어려운 건 없다고 봐도 무방하다. “랜섬웨어를 개발하는 것도, 피해자와 협상을 하는 것도, 조직원을 모으는 것도, 돈을 세탁하는 것도, 최초로 침투하는 것만큼 어렵지는 않습니다.”
그러면 이들은 정확히 뭘 파는 것일까? “네트워크에 접속할 수 있게 해 주는 크리덴셜을 판매하는 유형이 가장 많습니다. VPN, RDP 서비스, 액티브 디렉토리, 원격 관리 패널 등 네트워크에 발을 걸치게 해 주는 기능에 로그인을 정상적으로 할 수 있게 해 주는 것이죠. 혹은 피해자 시스템에 웹셸을 심어두어 자유자재로 드나들 수 있게 해 놓은 다음, 해당 웹셸로의 접근 권한을 판매하기도 합니다.”
랜섬웨어 경제의 촉진자
최초 접근 브로커들은 돈만 제대로 준다면 누구에게나 자신의 아이템을 판매한다. 이런 류의 사업자들은 지난 2년 동안 다크웹에서 크게 늘어났다. 사실 아이템이 아무리 좋다 한들 사는 사람이 없다면 산업이 성장하기는 힘들다. 이들의 수가 크게 늘어나고 사업이 호황기를 맞이했다는 건 누군가 이들과 대량의 거래를 했다는 것이다. 이 문제의 거래자 혹은 어둠의 후원자는 같은 시기에 폭발적으로 번창한 랜섬웨어 운영자들이다.
보안 업체 켈라(KELA)가 연구한 바에 의하면 주요 랜섬웨어 조직인 하이브(Hive), 소디노키비(Sodinokibi), 블랙바이트(BlackByte), 퀀텀(Quantum) 등이 대표적으로 최초 접근 브로커라는 날개를 달고 성장한 자들이라고 한다. 악명 높은 콘티(Conti) 랜섬웨어 운영자들도 심심찮게 최초 접근 브로커들과 파트너십을 맺고 캠페인을 진행한다. 특히 콘티는 러시아 정부를 돕기 위해 우크라이나 정부를 공격하기 위해 접근 브로커들과 손을 잡기도 했었다.
그룹IB에 의하면 현존하는 접근 브로커들이 가장 많이 판매하는 건 RDP와 VPN 계정 정보라고 한다. 47%가 관리자 권한으로 접근할 수 있을 만한 크리덴셜이라고 하며, 28%는 도메인 관리자 권한과 관련이 있고, 23%가 일반 사용자 권한으로 접근할 수 있게 해 주는 것으로 조사됐다. 루트 권한을 주는 경우도 있긴 한데, 극소수다. 시트릭스(Citrix) 제품 환경에 대한 접근 권한을 전문적으로 판매하는 브로커들도 있고, 유명 CMS와 클라우드 서버들에 집중하는 단체들도 존재한다고 그룹IB는 보고서를 통해 밝혔다.
“보다 능동적이고 침습적인 접근 방법을 제공하는 조직들도 있습니다. 미리 피해자의 네트워크에 들어가 웹셸을 심어두기도 하고, 심지어 횡적 움직임을 가능하게 하는 코발트 스트라이크(Cobalt Strike)나 메타스플로잇(Metasploit) 페이로드를 설치해서 최초 접근만이 아니라 그 후 이동 경로까지 확보하기도 합니다. RDP나 VPN 크리덴셜을 판매하는 자들보다 흔하지는 않지만 어느 정도 보이는 유형이죠.” 접근 브로커들이 가장 많이 노리는 산업은 제조, 금융, 부동산, 교육, 정보 기술인 것으로 나타났다.
접근 브로커들의 전성시대라고 볼 수 있지만, 이것이 내부적으로는 그리 긍정적인 것만은 아니라고 그룹IB는 설명하기도 한다. “너무나 많은 조직들이 생겨나니 서비스의 가격이 내려가기 시작했습니다. 경쟁이 심화되고 있는 것이죠. 물론 그러면서 서비스 품질이 높아진다는 면도 있습니다.”
3줄 요약
1. 최초 접근 브로커로 불리는 유형의 공격 단체들, 최근 지나치게 늘어남.
2. 이들은 마치 석유와 같아서 온갖 악성 행위들의 연료가 되고 있음.
3. RDP와 VPN 크리덴셜을 판매하기도 하고, 웹셸을 심어두기도 하고.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
