알약 내 ‘랜섬웨어 행위기반 사전 차단’ 기능 통해 진단...일 평균 485건
새 랜섬웨어 ‘로르샤흐’ 및 윈도·리눅스·맥 OS 감염, 랩쳐 랜섬웨어 발견, 에잇베이스 활동도 급증
[보안뉴스 김영명 기자] 보안 전문기업 이스트시큐리티(대표 정진일)는 올해 2분기 자사 백신 프로그램 ‘알약’에 탑재돼 있는 ‘랜섬웨어 행위기반 사전 차단’ 기능을 통해 총 4만 3,645건의 랜섬웨어 공격을 차단했다고 밝혔다.
▲2023년 2분기 랜섬웨어 행위기반 차단 통계[자료=이스트시큐리티]
이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지 건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상된다.
올해 2분기 알약을 통해 차단된 랜섬웨어 공격은 총 4만 3,645건으로 이를 일간 기준으로 환산하면 일 평균 485건의 랜섬웨어 공격이 차단된 것으로 볼 수 있다. 이스트시큐리티는 2023년 2분기 랜섬웨어 주요 동향으로 △바북(babuk) 랜섬웨어 소스코드를 이용한 랜섬웨어 변종의 대거 등장 △암호화 속도가 가장 빠른 로르샤흐(Rorschach) 랜섬웨어 등장 △윈도, 리눅스 및 맥OS를 모두 감염시킬 수 있는 새로운 랜섬웨어 △랜섬웨어 공격방식의 지속적 진화 △중소기업만 노리는 랜섬웨어인 에잇베이스(8base) 랜섬웨어의 활동 급증을 선정했다.
‘바북록커’ 랜섬웨어는 2021년 1월에 처음 등장한 기업용 랜섬웨어로, 피해자에 따라 고유 확장자, 랜섬노트, Tor URL 등을 달리했으며, 이중갈취 전략을 사용하며 활발한 활동을 이어갔다. 하지만 같은해 6월 말, 어떠한 이유에서인지 바북록커의 랜섬웨어 빌더가 온라인에 유출됐다.
그 이후 지난해 하반기와 올해 상반기에는 바북록커 소스코드를 이용해 제작된 랜섬웨어들의 변종들이 대거 발견됐다. 올해 4월에 처음 발견된 RA Group 랜섬웨어 역시 바북록커 랜섬웨어의 유출된 코드를 활용해 제작됐다.
RA Group 랜섬웨어는 올해 4월 22일 다크웹에 데이터 유출 사이트를 개설하며 외부에 알려졌다. 주로 미국과 한국의 제조, 자산관리, 보험, 제약 등의 사업 분야를 타깃으로 하며, 국내의 제약회사 한 곳도 해당 랜섬웨어 그룹의 공격으로 인해 내부 정보가 유출됐다.
이밖에도 아스트록커(AstraLocker), 마리오(Mario), RTMLocker 랜섬웨어 등 많은 랜섬웨어들이 유출된 바북록커 소스코드를 재활용해 제작된 것으로 확인됐다. 많은 공격자들이 바북록커 소스코드를 이용하는 이유는 리눅스(Linux) 기반의 랜섬웨어로 ESXi 서버를 대상으로 하는 공격에 사용할 수 있기 때문으로 추측된다.
첫 번째 이슈는 ‘로르샤흐(Rorschach)라는 이름의 새로운 랜섬웨어의 발견’이다. 지금까지 발견된 랜섬웨어들 중 록빗 3.0(Lockbit 3.0) 랜섬웨어가 암호화 속도가 가장 빨랐다. 하지만 록빗 3.0 랜섬웨어보다 암호화 속도가 약 2배 더 빠른 로르샤흐라는 이름의 새로운 랜섬웨어가 발견돼 주목을 받았다. 로르샤흐 랜섬웨어는 올해 4월에 처음 발견됐으며, 해당 랜섬웨어 역시 바북 랜섬웨어 코드를 활용해 제작된 변종으로 확인됐다.
로르샤흐 랜섬웨어는 상용 보안 소프트웨어의 서명된 구성 요소를 사용해 유포됐다. 윈도 도메인 컨트롤러(DC)에서 실행될 때 자동으로 그룹 정책을 생성해 네트워크를 통해 빠르게 전파되며 ‘syscall’ 명령을 사용해 직접 시스템 호출을 수행한다. 록빗 및 바북을 포함한 다른 많은 랜섬웨어 변종과 마찬가지로 로르샤흐 랜섬웨어 역시 전체 파일 내용이 아닌 파일의 일부만 암호화해 암호화 속도를 향상시키고 효율성을 높였다. 다만, 이중 갈취를 위해 데이터를 유출하지는 않는 것으로 확인됐다.
두 번째는, ‘윈도, 리눅스 및 맥 OS를 모두 감염시킬 수 있는 새로운 랜섬웨어의 발견’이다. 새로 발견된 사이클롭스(Cyclops) 공격 그룹은 RaaS(Ransomware as a Service)를 통해 윈도(Windows), 리눅스(Linux) 및 맥 OS(Mac OS)를 모두 감염시킬 수 있는 랜섬웨어를 제공한다. 맥OS 및 리눅스 버전의 사이클롭스 랜섬웨어는 Go 언어로 작성됐으며, 비대칭 암호화 및 대칭 암호화가 혼합된 복잡한 암호 알고리즘을 사용한다.
그뿐만 아니라 다양한 민감 데이터를 탈취하기 위해 Go 기반의 인포스틸러도 제공한다. 이 인포스틸러는 윈도 및 리눅스 시스템을 대상으로 설계돼 운영체제 정보, 컴퓨터 이름, 특정 확장자와 일치하는 파일 등의 세부정보를 캡처하며, 특정 확장자 파일에 대해서는 수집해 원격 서버로 전송한다. 사이클롭스 랜섬웨어의 암호화 알고리즘 및 문자열 난독화 기술은 바북 랜섬웨어 및 록빗 랜섬웨어와 유사해 이 두 랜섬웨어와의 연관성이 있다고 추측되고 있다.
랜섬웨어의 공격 방식도 지속적으로 진화하고 있다. 블랙캣(BlackCat) 랜섬웨어는 최근 보안 SW의 탐지를 피하기 위해, 서명된 악성 윈도 커널 드라이버를 사용하는 것이 포착됐다. 분석 결과 악성 윈도 커널 드라이버는 지난해 말 랜섬웨어 공격에 사용된 푸어트리(POORTRY) 악성코드의 업데이트 버전으로, 마이크로소프트 윈도 하드웨어 개발자 프로그램에서 도난당한 키를 사용해 서명된 윈도 커널 드라이버이다. 공격자는 탈취하거나 유출된 교차 서명 인증서를 통해 서명된 업데이트된 POORTRY 커널 드라이버를 배포했다. 또한, 이를 이용해 해킹된 시스템에서 권한 상승을 하고 보안 에이전트와 관련된 프로세스를 중지하는 등의 기능을 수행한다.
세 번째는, ‘최소한의 흔적만을 남겨 분석을 어렵게 하는 랩쳐(Rapture) 랜섬웨어의 발견’이다. 해당 랜섬웨어는 RSA 키 구성 파일을 사용하고 .net 실행파일로 컴파일한다는 점에서 파라다이스 랜섬웨어와 유사하지만, 더미다(Themida)를 이용해 패킹하고 최소한의 흔적만을 남겨 분석을 어렵게 하는 특징이 있다.
지난달에는 클롭(Clop) 랜섬웨어 그룹이 MFT 솔루션인 무브잇 트랜스퍼(Moveit Transfer)에서 SQL 인젝션 취약점을 이용해 공격을 진행하는 것이 확인됐다. 분석결과, 클롭 랜섬웨어는 이미 2년 전에 해당 취약점에 대해 이미 알고 있었으며, 2021년 7월부터 해당 취약점을 익스플로잇할 수 있는 방법에 대해 여러 실험을 진행했다는 점이 확인됐다. 하지만 클롭 조직은 무브잇 취약점을 이용한 공격을 진행하지 않고 있다가, 올해 6월 1일부터 공격을 시작했으며, BBC, 영국항공 등 무브잇 트랜스퍼를 사용하는 많은 기업들이 피해를 입었다.
네 번째로, ‘중소기업만 노리는 랜섬웨어인 에잇베이스(8base) 랜섬웨어의 활동의 급증’이 나타났다. 에잇베이스 랜섬웨어는 지난해 3월에 처음 등장했지만 활발한 활동을 하지 않았다. 이 랜섬웨어는 주로 보안이 취약한 중소기업들을 공격 대상으로 삼으며 올해 4~5월에는 소수의 공격만 진행했지만, 6월부터 그 활동이 급증했다. 현재까지 이미 80개가 넘는 기업이 해당 랜섬웨어에 공격을 당한 것으로 확인됐다. 심지어 올해 6월 한 달간 가장 많은 공격을 진행한 랜섬웨어 그룹 순위 중 2위를 차지하기도 했다.
에잇베이스 랜섬웨어를 분석한 결과 랜섬노트와 유출사이트가 랜섬하우스(RansomHouse) 랜섬웨어와 매우 유사해 랜섬하우스와 관련이 있을 것으로 추정했지만, 또 다른 분석가는 에잇베이스 랜섬웨어가 최근 공격에서 사용한 이메일 확장자가 포보스(Phobos) 랜섬웨어가 사용한 이메일 주소와 동일한 점을 이유로 포보스 랜섬웨어와 관련이 있는 것으로 추정하고 있다. 하지만 에잇베이스 랜섬웨어와 관련해 확실한 건 아직 아무것도 없다.
이밖에도 이스트시큐리티 시큐리티대응센터(ESRC)에서 선정한 올해 2분기에 새로 발견됐거나 주목할 만한 랜섬웨어는 다음과 같다.
▲올해 2분기에 새롭게 발견됐거나 주목할 만한 랜섬웨어[자료=이스트시큐리티]
한편, 이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 사전에 방지하기 위해 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있다고 밝혔다.
[김영명 기자(boan@boannews.com)]
새 랜섬웨어 ‘로르샤흐’ 및 윈도·리눅스·맥 OS 감염, 랩쳐 랜섬웨어 발견, 에잇베이스 활동도 급증
[보안뉴스 김영명 기자] 보안 전문기업 이스트시큐리티(대표 정진일)는 올해 2분기 자사 백신 프로그램 ‘알약’에 탑재돼 있는 ‘랜섬웨어 행위기반 사전 차단’ 기능을 통해 총 4만 3,645건의 랜섬웨어 공격을 차단했다고 밝혔다.
▲2023년 2분기 랜섬웨어 행위기반 차단 통계[자료=이스트시큐리티]
이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지 건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상된다.
올해 2분기 알약을 통해 차단된 랜섬웨어 공격은 총 4만 3,645건으로 이를 일간 기준으로 환산하면 일 평균 485건의 랜섬웨어 공격이 차단된 것으로 볼 수 있다. 이스트시큐리티는 2023년 2분기 랜섬웨어 주요 동향으로 △바북(babuk) 랜섬웨어 소스코드를 이용한 랜섬웨어 변종의 대거 등장 △암호화 속도가 가장 빠른 로르샤흐(Rorschach) 랜섬웨어 등장 △윈도, 리눅스 및 맥OS를 모두 감염시킬 수 있는 새로운 랜섬웨어 △랜섬웨어 공격방식의 지속적 진화 △중소기업만 노리는 랜섬웨어인 에잇베이스(8base) 랜섬웨어의 활동 급증을 선정했다.
‘바북록커’ 랜섬웨어는 2021년 1월에 처음 등장한 기업용 랜섬웨어로, 피해자에 따라 고유 확장자, 랜섬노트, Tor URL 등을 달리했으며, 이중갈취 전략을 사용하며 활발한 활동을 이어갔다. 하지만 같은해 6월 말, 어떠한 이유에서인지 바북록커의 랜섬웨어 빌더가 온라인에 유출됐다.
그 이후 지난해 하반기와 올해 상반기에는 바북록커 소스코드를 이용해 제작된 랜섬웨어들의 변종들이 대거 발견됐다. 올해 4월에 처음 발견된 RA Group 랜섬웨어 역시 바북록커 랜섬웨어의 유출된 코드를 활용해 제작됐다.
RA Group 랜섬웨어는 올해 4월 22일 다크웹에 데이터 유출 사이트를 개설하며 외부에 알려졌다. 주로 미국과 한국의 제조, 자산관리, 보험, 제약 등의 사업 분야를 타깃으로 하며, 국내의 제약회사 한 곳도 해당 랜섬웨어 그룹의 공격으로 인해 내부 정보가 유출됐다.
이밖에도 아스트록커(AstraLocker), 마리오(Mario), RTMLocker 랜섬웨어 등 많은 랜섬웨어들이 유출된 바북록커 소스코드를 재활용해 제작된 것으로 확인됐다. 많은 공격자들이 바북록커 소스코드를 이용하는 이유는 리눅스(Linux) 기반의 랜섬웨어로 ESXi 서버를 대상으로 하는 공격에 사용할 수 있기 때문으로 추측된다.
첫 번째 이슈는 ‘로르샤흐(Rorschach)라는 이름의 새로운 랜섬웨어의 발견’이다. 지금까지 발견된 랜섬웨어들 중 록빗 3.0(Lockbit 3.0) 랜섬웨어가 암호화 속도가 가장 빨랐다. 하지만 록빗 3.0 랜섬웨어보다 암호화 속도가 약 2배 더 빠른 로르샤흐라는 이름의 새로운 랜섬웨어가 발견돼 주목을 받았다. 로르샤흐 랜섬웨어는 올해 4월에 처음 발견됐으며, 해당 랜섬웨어 역시 바북 랜섬웨어 코드를 활용해 제작된 변종으로 확인됐다.
로르샤흐 랜섬웨어는 상용 보안 소프트웨어의 서명된 구성 요소를 사용해 유포됐다. 윈도 도메인 컨트롤러(DC)에서 실행될 때 자동으로 그룹 정책을 생성해 네트워크를 통해 빠르게 전파되며 ‘syscall’ 명령을 사용해 직접 시스템 호출을 수행한다. 록빗 및 바북을 포함한 다른 많은 랜섬웨어 변종과 마찬가지로 로르샤흐 랜섬웨어 역시 전체 파일 내용이 아닌 파일의 일부만 암호화해 암호화 속도를 향상시키고 효율성을 높였다. 다만, 이중 갈취를 위해 데이터를 유출하지는 않는 것으로 확인됐다.
두 번째는, ‘윈도, 리눅스 및 맥 OS를 모두 감염시킬 수 있는 새로운 랜섬웨어의 발견’이다. 새로 발견된 사이클롭스(Cyclops) 공격 그룹은 RaaS(Ransomware as a Service)를 통해 윈도(Windows), 리눅스(Linux) 및 맥 OS(Mac OS)를 모두 감염시킬 수 있는 랜섬웨어를 제공한다. 맥OS 및 리눅스 버전의 사이클롭스 랜섬웨어는 Go 언어로 작성됐으며, 비대칭 암호화 및 대칭 암호화가 혼합된 복잡한 암호 알고리즘을 사용한다.
그뿐만 아니라 다양한 민감 데이터를 탈취하기 위해 Go 기반의 인포스틸러도 제공한다. 이 인포스틸러는 윈도 및 리눅스 시스템을 대상으로 설계돼 운영체제 정보, 컴퓨터 이름, 특정 확장자와 일치하는 파일 등의 세부정보를 캡처하며, 특정 확장자 파일에 대해서는 수집해 원격 서버로 전송한다. 사이클롭스 랜섬웨어의 암호화 알고리즘 및 문자열 난독화 기술은 바북 랜섬웨어 및 록빗 랜섬웨어와 유사해 이 두 랜섬웨어와의 연관성이 있다고 추측되고 있다.
랜섬웨어의 공격 방식도 지속적으로 진화하고 있다. 블랙캣(BlackCat) 랜섬웨어는 최근 보안 SW의 탐지를 피하기 위해, 서명된 악성 윈도 커널 드라이버를 사용하는 것이 포착됐다. 분석 결과 악성 윈도 커널 드라이버는 지난해 말 랜섬웨어 공격에 사용된 푸어트리(POORTRY) 악성코드의 업데이트 버전으로, 마이크로소프트 윈도 하드웨어 개발자 프로그램에서 도난당한 키를 사용해 서명된 윈도 커널 드라이버이다. 공격자는 탈취하거나 유출된 교차 서명 인증서를 통해 서명된 업데이트된 POORTRY 커널 드라이버를 배포했다. 또한, 이를 이용해 해킹된 시스템에서 권한 상승을 하고 보안 에이전트와 관련된 프로세스를 중지하는 등의 기능을 수행한다.
세 번째는, ‘최소한의 흔적만을 남겨 분석을 어렵게 하는 랩쳐(Rapture) 랜섬웨어의 발견’이다. 해당 랜섬웨어는 RSA 키 구성 파일을 사용하고 .net 실행파일로 컴파일한다는 점에서 파라다이스 랜섬웨어와 유사하지만, 더미다(Themida)를 이용해 패킹하고 최소한의 흔적만을 남겨 분석을 어렵게 하는 특징이 있다.
지난달에는 클롭(Clop) 랜섬웨어 그룹이 MFT 솔루션인 무브잇 트랜스퍼(Moveit Transfer)에서 SQL 인젝션 취약점을 이용해 공격을 진행하는 것이 확인됐다. 분석결과, 클롭 랜섬웨어는 이미 2년 전에 해당 취약점에 대해 이미 알고 있었으며, 2021년 7월부터 해당 취약점을 익스플로잇할 수 있는 방법에 대해 여러 실험을 진행했다는 점이 확인됐다. 하지만 클롭 조직은 무브잇 취약점을 이용한 공격을 진행하지 않고 있다가, 올해 6월 1일부터 공격을 시작했으며, BBC, 영국항공 등 무브잇 트랜스퍼를 사용하는 많은 기업들이 피해를 입었다.
네 번째로, ‘중소기업만 노리는 랜섬웨어인 에잇베이스(8base) 랜섬웨어의 활동의 급증’이 나타났다. 에잇베이스 랜섬웨어는 지난해 3월에 처음 등장했지만 활발한 활동을 하지 않았다. 이 랜섬웨어는 주로 보안이 취약한 중소기업들을 공격 대상으로 삼으며 올해 4~5월에는 소수의 공격만 진행했지만, 6월부터 그 활동이 급증했다. 현재까지 이미 80개가 넘는 기업이 해당 랜섬웨어에 공격을 당한 것으로 확인됐다. 심지어 올해 6월 한 달간 가장 많은 공격을 진행한 랜섬웨어 그룹 순위 중 2위를 차지하기도 했다.
에잇베이스 랜섬웨어를 분석한 결과 랜섬노트와 유출사이트가 랜섬하우스(RansomHouse) 랜섬웨어와 매우 유사해 랜섬하우스와 관련이 있을 것으로 추정했지만, 또 다른 분석가는 에잇베이스 랜섬웨어가 최근 공격에서 사용한 이메일 확장자가 포보스(Phobos) 랜섬웨어가 사용한 이메일 주소와 동일한 점을 이유로 포보스 랜섬웨어와 관련이 있는 것으로 추정하고 있다. 하지만 에잇베이스 랜섬웨어와 관련해 확실한 건 아직 아무것도 없다.
이밖에도 이스트시큐리티 시큐리티대응센터(ESRC)에서 선정한 올해 2분기에 새로 발견됐거나 주목할 만한 랜섬웨어는 다음과 같다.
▲올해 2분기에 새롭게 발견됐거나 주목할 만한 랜섬웨어[자료=이스트시큐리티]
한편, 이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 사전에 방지하기 위해 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있다고 밝혔다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
