제조, 헬스케어, 리테일, 기술 기업 공격 대상 삼아
최대 1700만달러 몸값 요구 전력

[보안뉴스 여이레 기자] 과거 악명을 떨쳤던 러시아계 랜섬웨어 그룹 ‘올드그렘린’(OldGremlin)이 돌아왔다.

카스퍼스키는 8일 자사 위협 리서치팀이 올해 초 ‘올드그렘린’(OldGremlin)의 새로운 공격을 식별했다고 발표했다.

올드그렘린의 활동 재개를 알리는 신호라는 분석이다. 이들은 제조, 헬스케어, 리테일, 기술 기업을 주요 공격 대상으로 삼았으며, 단일 피해자에 최대 1700만달러의 몸값을 요구한 전력이 있다.


[자료: 카스퍼스키]

이번 공격 행위는 올드그렘린 그룹의 과거 전술과 일치한다. 또 처음으로 공격자가 스스로 ‘OldGremlin’이라는 명칭을 몸값 요구 문서와 파일 경로에 직접 사용했다. 이들의 툴킷은 핵심 윈도우 보안 기능을 비활성화해 자신들의 자체 드라이버를 실행하며, 명령 수행에는 노드.js(Node.js)를 활용한다.

카스퍼스키 연구진은 올드그렘린 툴킷이 크게 원격 접근 백도어, 패처, 마스터, 클로즈더도어 등의 네 가지 주요 구성요소로 이루어져 있음을 확인했다. ‘원격 접근 백도어’는 공격자가 감염된 컴퓨터를 원격으로 제어할 수 있게 한다. ‘패처’(Patcher)는 합법적 윈도우 드라이버의 취약점을 악용해 서명되지 않은 드라이버 차단 기능을 끄고, 그룹의 악성 드라이버를 로드해 보안 툴을 무력화한다.

‘마스터’는 파일 암호화 프로그램이자 독립 실행 파일 또는 노드.js 애드온(Node.js add-ons) 형태로 작동하며, 로컬호스트(localhost:8010)에서 질의 시 현재 암호화 진행 상태를 보고한다. ‘클로즈더도어’(Closethedoor)는 암호화 과정 중 네트워크에서 디바이스를 격리, 몸값 요구 문서를 배포하고 흔적을 삭제하는 역할을 한다.

카스퍼스키 솔루션은 이 랜섬웨어를 Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og 및 HEUR:Trojan-Ransom.Win64.Generic으로 탐지했다.

이효은 카스퍼스키 한국지사장은 “한국은 빠른 기술 산업 발전으로 사이버 공격의 주요 표적이 되고 있으며, 올드그렘린 같은 그룹은 합법적 도구와 악성 드라이버를 혼합해 공격 체인을 지속적으로 고도화하고 있다”며 “기업들은 역동적 방어 체계를 반드시 구축해야 한다”고 밝혔다.

카스퍼스키는 복잡한 사이버 환경에서 선제적 방어와 신속한 대응을 가능하게 지원하는 ‘카스퍼스키 넥스트’(Kaspersky Next) 제품군을 제공한다.

[여이레 기자(gore@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>