랜섬웨어 공격자들 사이에서 변화가 나타나기 시작했다. 그러면서 우리가 가진 여러 가지 선입견들이 깨지고 있다. 미리 깨두지 않으면 방어에 큰 어려움이 있을 것으로 예상된다.
[보안뉴스 문정후 기자] 2022년 1사분기와 2023년 1사분기 사이에 랜섬웨어 공격에 당한 조직들의 수는 143% 증가했다. 랜섬웨어 공격자들이 성공가도를 달리고 있다는 것은 익히 알려진 사실이지만, 이렇게 급증하는 것은 드문 일이다. 그 이유는 랜섬웨어 공격자들이 표적의 제로데이 취약점과 원데이 취약점을 보다 능숙하게 노리기 시작했기 때문이다.
[이미지 = gettyimagesbank]
피해자들의 증가
보안 업체 아카마이(Akamai)는 최근 90개의 랜섬웨어 그룹들이 운영하고 있는 데이터 노출 및 협박용 웹사이트들을 분석했다고 한다. 피해자들이 협상에 응하지 않았을 때 피해자들의 데이터를 공개하는 사이트들인데, 요즘 랜섬웨어 공격자들은 다들 이런 사이트를 운영한다. 분석 과정에서 최근 피해자들이 급증했다는 사실이 파악됐다고 아카마이 측은 설명한다.
게다가 랜섬웨어에 대해 가지고 있는 많은 사람들의 선입견 중 사실이 아닌 것들도 발견할 수 있었다고 한다. “그 중 가장 충격적인 건 ‘랜섬웨어 공격은 피싱 공격으로부터 시작한다’는 것이 더 이상 사실이 아니라는 것이었습니다. 피싱 공격이 여전히 많이 사용되고 있긴 합니다만 요즘은 취약점 익스플로잇이 대세로 자리를 잡은 듯했습니다. 일부 대형 랜섬웨어 조직들의 경우 제로데이 취약점 정보를 사들이거나 스스로 연구해 찾아내기도 했습니다.”
이런 흐름은 클롭(Cl0p) 랜섬웨어의 최근 공격에서 드러난다. 이들은 포트라(Fortra)의 고애니웨어(GoAnywhere)라는 소프트웨어에서 SQL 주입 제로데이 취약점인 CVE-2023-0669를 익스플로잇 해서 수많은 기업들을 침해하는 데 성공했다. 그러더니 조금 더 있다가 프로그레스소프트웨어(Progress Software)의 무브잇(MOVEit)에서 또 다른 취약점인 CVE-2023-34362를 발견해 전 세계적인 파장을 일으키기도 했었다. 아카마이에 의하면 클롭이 전략을 바꾸기 전과 후 피해 조직이 9배 늘어났다고 한다.
“제로데이 취약점을 익스플로잇 하는 게 새로운 현상인 건 아닙니다. 다만 랜섬웨어 공격자들이 이를 적극 활용하기 시작했다는 건 중요한 문제입니다. 특히 자체적으로 제로데이 취약점을 발굴하고 이용하기 시작했다는 것을 간과하면 안 될 것으로 보입니다.” 아카마이의 보안 연구 팀장인 엘리아드 킴히(Eliad Kimhy)의 설명이다. “클롭이 이런 흐름을 처음 만들어냈고, 이제 다른 랜섬웨어 그룹들도 모방 범죄를 저지를 것으로 예상하고 있습니다.”
록빗(LockBit)과 블랙캣(BlackCat)이라는 또 다른 대형 랜섬웨어 그룹들에서도 심상치 않은 움직임이 발견되고 있다. 이들의 경우 2023년 4월 페이퍼컷(PaperCut)이라는 서비스의 원데이 취약점들을 적극 노려 큰 피해를 유발시킨 바 있다. CVE-2023-27350과 CVE-2023-27351이 문제의 취약점이다. 그 외에도 VM웨어의 ESXi 서버들에서 발견된 원데이 취약점들을 익스플로잇 하기도 했다. 취약점이 발견되긴 했지만 패치가 적용되기 전 시간에 익스플로잇을 적극적으로 하는 게 ‘원데이 취약점 공격’이다.
암호화에서 유출로
취약점 익스플로잇과 함께 대두되고 있는 또 다른 트렌드는 파일 암호화라는 랜섬웨어 전략을 완전히 버리는 조직들이 하나 둘 생겨나고 있다는 것이다. 비안리안(BianLian) 조직이 대표적이다. 이들은 데이터 암호화라는 랜섬웨어의 기본 전략을 완전히 배제하고 데이터를 빼돌려 협박하는 것에 집중하고 있다. 즉 데이터 탈취(유출)로 선회한 것이다. 기업들이 데이터 암호화에 대해서는 좀 더 능숙하게 대처하기 시작하니 생겨난 현상으로 추정된다. 암호화에는 대응할 수 있지만 데이터를 가져가서 세상에 공개한다는 협박에는 대응하기가 힘들다.
킴히는 “랜섬웨어 조직들이 하나 둘 데이터 빼돌리기에 집중하기 시작했다는 건 주의 깊게 살펴야 할 현상”이라고 짚는다. “원래 데이터를 암호화시켜서 못 쓰게 만드는 게 랜섬웨어의 기본이었고, 데이터를 빼돌려 협박하는 건 부수적인 전략이었죠. 그런데 이게 뒤바뀌고 있는 겁니다. 백업이 랜섬웨어 방어의 기본이라는 게 점점 낡은 조언이 되어간다는 뜻입니다.”
아카마이가 발견한 또 다른 트렌드는 피해자의 65%가 중소기업으로 분류된다는 것이다. 연간 수익이 5천만 달러 이하인 조직들이다. “보통 랜섬웨어 공격자들이 대형 조직들을 노린다고 생각하는데, 사실이 아니었습니다. 이번 조사를 통해 드러난 바, 대기업들은 12%밖에 차지하지 않는 것으로 밝혀졌습니다. 역시 사이버 공격자들은 큰 먹이보다 쉬운 먹이를 노린다는 게 다시 한 번 입증됐습니다.”
공격자들은 제조사들을 특히 선호하는 것으로 나타났다. 그 다음은 의료와 금융 분야의 조직들이 인기가 많았다. “하지만 그 무엇보다 공격자들이 좋아하는 조직은 한 번 랜섬웨어에 당한 조직이었습니다. 한 번 당하면 정신 차리고 보안을 강화한다는 우리의 생각 역시 틀린 선입견이었다는 뜻이죠. 허술한 곳은 계속 허술합니다. 랜섬웨어 공격자들도 이 사실을 이미 오래 전에 간파한 것으로 보입니다.”
3줄 요약
1. 랜섬웨어 공격자들, 피싱보다 취약점 익스플로잇에 더 집중.
2. 랜섬웨어 공격자들, 대기업보다 중소기업에 더 집중.
3. 랜섬웨어 피해자들, 한 번 당하면 두 번, 세 번 더 당함.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 2022년 1사분기와 2023년 1사분기 사이에 랜섬웨어 공격에 당한 조직들의 수는 143% 증가했다. 랜섬웨어 공격자들이 성공가도를 달리고 있다는 것은 익히 알려진 사실이지만, 이렇게 급증하는 것은 드문 일이다. 그 이유는 랜섬웨어 공격자들이 표적의 제로데이 취약점과 원데이 취약점을 보다 능숙하게 노리기 시작했기 때문이다.
[이미지 = gettyimagesbank]
피해자들의 증가
보안 업체 아카마이(Akamai)는 최근 90개의 랜섬웨어 그룹들이 운영하고 있는 데이터 노출 및 협박용 웹사이트들을 분석했다고 한다. 피해자들이 협상에 응하지 않았을 때 피해자들의 데이터를 공개하는 사이트들인데, 요즘 랜섬웨어 공격자들은 다들 이런 사이트를 운영한다. 분석 과정에서 최근 피해자들이 급증했다는 사실이 파악됐다고 아카마이 측은 설명한다.
게다가 랜섬웨어에 대해 가지고 있는 많은 사람들의 선입견 중 사실이 아닌 것들도 발견할 수 있었다고 한다. “그 중 가장 충격적인 건 ‘랜섬웨어 공격은 피싱 공격으로부터 시작한다’는 것이 더 이상 사실이 아니라는 것이었습니다. 피싱 공격이 여전히 많이 사용되고 있긴 합니다만 요즘은 취약점 익스플로잇이 대세로 자리를 잡은 듯했습니다. 일부 대형 랜섬웨어 조직들의 경우 제로데이 취약점 정보를 사들이거나 스스로 연구해 찾아내기도 했습니다.”
이런 흐름은 클롭(Cl0p) 랜섬웨어의 최근 공격에서 드러난다. 이들은 포트라(Fortra)의 고애니웨어(GoAnywhere)라는 소프트웨어에서 SQL 주입 제로데이 취약점인 CVE-2023-0669를 익스플로잇 해서 수많은 기업들을 침해하는 데 성공했다. 그러더니 조금 더 있다가 프로그레스소프트웨어(Progress Software)의 무브잇(MOVEit)에서 또 다른 취약점인 CVE-2023-34362를 발견해 전 세계적인 파장을 일으키기도 했었다. 아카마이에 의하면 클롭이 전략을 바꾸기 전과 후 피해 조직이 9배 늘어났다고 한다.
“제로데이 취약점을 익스플로잇 하는 게 새로운 현상인 건 아닙니다. 다만 랜섬웨어 공격자들이 이를 적극 활용하기 시작했다는 건 중요한 문제입니다. 특히 자체적으로 제로데이 취약점을 발굴하고 이용하기 시작했다는 것을 간과하면 안 될 것으로 보입니다.” 아카마이의 보안 연구 팀장인 엘리아드 킴히(Eliad Kimhy)의 설명이다. “클롭이 이런 흐름을 처음 만들어냈고, 이제 다른 랜섬웨어 그룹들도 모방 범죄를 저지를 것으로 예상하고 있습니다.”
록빗(LockBit)과 블랙캣(BlackCat)이라는 또 다른 대형 랜섬웨어 그룹들에서도 심상치 않은 움직임이 발견되고 있다. 이들의 경우 2023년 4월 페이퍼컷(PaperCut)이라는 서비스의 원데이 취약점들을 적극 노려 큰 피해를 유발시킨 바 있다. CVE-2023-27350과 CVE-2023-27351이 문제의 취약점이다. 그 외에도 VM웨어의 ESXi 서버들에서 발견된 원데이 취약점들을 익스플로잇 하기도 했다. 취약점이 발견되긴 했지만 패치가 적용되기 전 시간에 익스플로잇을 적극적으로 하는 게 ‘원데이 취약점 공격’이다.
암호화에서 유출로
취약점 익스플로잇과 함께 대두되고 있는 또 다른 트렌드는 파일 암호화라는 랜섬웨어 전략을 완전히 버리는 조직들이 하나 둘 생겨나고 있다는 것이다. 비안리안(BianLian) 조직이 대표적이다. 이들은 데이터 암호화라는 랜섬웨어의 기본 전략을 완전히 배제하고 데이터를 빼돌려 협박하는 것에 집중하고 있다. 즉 데이터 탈취(유출)로 선회한 것이다. 기업들이 데이터 암호화에 대해서는 좀 더 능숙하게 대처하기 시작하니 생겨난 현상으로 추정된다. 암호화에는 대응할 수 있지만 데이터를 가져가서 세상에 공개한다는 협박에는 대응하기가 힘들다.
킴히는 “랜섬웨어 조직들이 하나 둘 데이터 빼돌리기에 집중하기 시작했다는 건 주의 깊게 살펴야 할 현상”이라고 짚는다. “원래 데이터를 암호화시켜서 못 쓰게 만드는 게 랜섬웨어의 기본이었고, 데이터를 빼돌려 협박하는 건 부수적인 전략이었죠. 그런데 이게 뒤바뀌고 있는 겁니다. 백업이 랜섬웨어 방어의 기본이라는 게 점점 낡은 조언이 되어간다는 뜻입니다.”
아카마이가 발견한 또 다른 트렌드는 피해자의 65%가 중소기업으로 분류된다는 것이다. 연간 수익이 5천만 달러 이하인 조직들이다. “보통 랜섬웨어 공격자들이 대형 조직들을 노린다고 생각하는데, 사실이 아니었습니다. 이번 조사를 통해 드러난 바, 대기업들은 12%밖에 차지하지 않는 것으로 밝혀졌습니다. 역시 사이버 공격자들은 큰 먹이보다 쉬운 먹이를 노린다는 게 다시 한 번 입증됐습니다.”
공격자들은 제조사들을 특히 선호하는 것으로 나타났다. 그 다음은 의료와 금융 분야의 조직들이 인기가 많았다. “하지만 그 무엇보다 공격자들이 좋아하는 조직은 한 번 랜섬웨어에 당한 조직이었습니다. 한 번 당하면 정신 차리고 보안을 강화한다는 우리의 생각 역시 틀린 선입견이었다는 뜻이죠. 허술한 곳은 계속 허술합니다. 랜섬웨어 공격자들도 이 사실을 이미 오래 전에 간파한 것으로 보입니다.”
3줄 요약
1. 랜섬웨어 공격자들, 피싱보다 취약점 익스플로잇에 더 집중.
2. 랜섬웨어 공격자들, 대기업보다 중소기업에 더 집중.
3. 랜섬웨어 피해자들, 한 번 당하면 두 번, 세 번 더 당함.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
