새롭게 등장했지만 평범한 랜섬웨어, 진짜 문제는 ‘복수 랜섬웨어’

2023-09-14 19:26
  • 카카오톡
  • 네이버 블로그
  • url
3AM이라는 랜섬웨어가 새롭게 나타났다. 공격자들이 록빗이 통하지 않자 꺼내든 회심의 무기였다. 하지만 그 면면이 마냥 새롭지만은 않다. 오히려 이들이 예비 무기를 가지고 있었다는 게 더 위협적인 사실이다.

[보안뉴스 문가용 기자] 최근 한 건설 업체가 랜섬웨어 공격에 당했다. 그런데 공격자들이 처음에 록빗(LockBit)이라는 랜섬웨어를 사용했다가 일이 뜻대로 풀리지 않자 또 다른 랜섬웨어를 사용하기 시작했다. 두 번째 시도에 사용된 랜섬웨어는 여태까지 한 번도 발견된 적이 없는 것이었는데 그 유명한 록빗이 실패한 공격을 성공시켰다.


[이미지 = gettyimagesbank]

새롭게 등장한 이 랜섬웨어는 특별히 눈에 띄는 특징을 가지고 있지는 않다. 피해자의 시스템에 침투한 뒤 사이버 보안 도구들을 차단하고, 백업 소프트웨어들을 찾아 백업이 되지 않게 하고, 백업된 파일들까지도 암호화 대상으로 포함시킨다. 요즘 나오는 랜섬웨어들과 비슷하다. 하지만 한 가지 다른 점이 있는데, 오전 세 시(3AM)라는 테마가 강조되고 있다는 것이다. 어지간히 밤 시간을 좋아하는 사람이 아니라면 깨어있지 않을 시간대다.

3AM 랜섬웨어를 처음 발견한 건 보안 업체 시만텍(Symantec)이다. 록빗 랜섬웨어가 실패하고 3AM이 성공한 사실도 시만텍이 확인한 사실이다. “한 공격 단체가 랜섬웨어 공격을 성공시키기 위해 한 번에 두 개 이상의 랜섬웨어를 사용한 것은 이번이 처음이 아닙니다. 공격을 성공시키기 위해 여러 가지 전략을 사용하고 있는 것이죠. 방어하는 기업들 입장에서 알아두어야 할 트렌드입니다.” 수석 첩보 분석가인 딕 오브라이언(Dick O’Brien)의 설명이다.

오전 세 시라는 테마
피해자의 시스템에 침투하는 데 성공한 공격자들은 제일 먼저 사용자 정보를 수집하고, 추가 데이터 수집 도구를 설치했다. 그 다음 여러 가지 명령어(whoami, netstat 등)를 통해 추가 정찰을 실시하고, 네트워크 내에서 횡적으로 움직였으며, 필요할 경우 새로운 사용자 계정을 만들어 추가하기도 했다. 이 새 계정은 공격 지속성 확보를 위해 사용되었다. 또한 Wput이라는 유틸리티를 활용해 피해자의 파일을 공격자들의 서버로 업로드하기도 했다.

이 단계까지 일을 진행한 공격자는 록빗(LockBit)을 피해자의 시스템에 설치하기 시작했다. 참고로 록빗은 랜섬웨어 세계에서 가장 고급스러운 최신 공격 도구로 인정을 받고 있다. 하지만 이 공격에서 피해자의 시스템은 록빗을 철저히 차단했고, 결국 록빗은 피해자의 네트워크에 침투하지 못했다. 이 전까지 실행했던 모든 준비 작업이 무위로 돌아갈 수 있었다.

그래서 공격자들은 록빗을 포기하고 두 번째 무기를 꺼내들었다. 3AM이었다. 3AM은 파일을 성공적으로 암호화했다. 그리고는 파일 뒤에다 .threeamtime이라는 확장자를 붙였다. 협박 편지도 남겼는데, “새벽 세 시(3AM)라니, 의아한 시간이지 않나?”라는 문구가 포함되어 있다. 그러면서 “당신의 파일은 의아하게 암호화 되었고, 시스템은 죽어 있으며 백업도 사라진 상태”라고 알린다. “하지만 협조만 제대로 하면 빠르게 모든 걸 원상태로 돌려놓을 수 있다”고도 말한다.

멀웨어, 안티바이러스를 이기다
시만텍에 의하면 테마를 설정하는 데까지 그럴 듯했지만 멀웨어 자체는 그리 대단할 것이 없다고 한다. “러스트로 작성된 64비트 실행파일입니다. 또한 다양한 보안 및 백업 소프트웨어를 무력화시키는 기능을 탑재하고 있고, 이를 통해 프로세스들을 죽인 후에 공격을 실시합니다. 디스크를 스캔하고, 특정 파일의 위치를 확인해 암호화 하고, 협박 편지를 심는 것이죠. 여기에 더해 셰도 사본이 있을 경우 찾아서 삭제하기도 합니다.”

이번 공격에서 공격자들은 딱 세 대의 PC만 3AM으로 감염시키는 데 성공했다. 피해자의 방어 시스템은 록빗을 몰아냈으나 3AM의 공격은 허용했다. 하지만 두 대는 얼마 지나지 않아 3AM도 차단했고, 결국 한 대에만 3AM의 공격이 통했다. 결국 3AM이 록빗보다 대단히 뛰어난 성능을 가지고 있다고까지 말하기 힘든 것이라고 할 수 있다. “새롭게 등장했다는 특징 하나 때문에 공격이 통했을 겁니다. 록빗은 성능이 좋은만큼 유명하기도 하니 막기가 더 수월하죠.”

오브라이언은 “공격자가 두 개의 랜섬웨어를 손에 들고 공격을 시작했다는 사실이 이번 사건에서 얻을 수 있는 가장 중요한 교훈”이라고 강조한다. “보안 전문가들이라면 이런 상황을 여러 번 목격했을 겁니다. 다만 일반 기업이나 사용자들에게까지 이런 현상이 알려지지는 않은 거 같습니다. 요즘 공격자들은 두 개 이상의 랜섬웨어로 공격을 실시해 자신들의 성공률을 높이고 있으며, 이것이 보편적 전략으로 자리를 잡을 느낌이 듭니다. 방어하는 입장에서 기억해야 할 내용입니다.”

3줄 요약
1. 완전히 새로운 랜섬웨어인 3AM이 나타남.
2. 공격자들은 ‘새벽 세 시’라는 테마를 가지고 공격을 구성함.
3. 하지만 실상은 지극히 표준에 가까운 랜섬웨어임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기