새로운 랜섬웨어가 나타났다. 딥블루매직이라고 하는데, 디스크 전체를 암호화 한다. 이 때 C 드라이브는 제외된다. 디스크 암호화도 시작하자마자 그만둬, 접근이 불가한 상태로 겨우 만들기만 한다. 극강의 효율성을 자랑하는 공격이거나, 개발이 완료되지 않은 전략이거나, 둘 중 하나로 보인다.
[보안뉴스 문가용 기자] 새로운 랜섬웨어가 또 등장했다. 이름은 딥블루매직(DeepBlueMagic)이며, 공격 대상이 되는 조직의 네트워크에서 다양한 디스크 드라이브들을 표적으로 삼고 암호화시킨다고 한다. 엔드포인트에 침투해 파일들을 암호화 하는 것과는 확연히 다른 움직임이라고 보안 업체 헤임달 시큐리티(Heimdal Security)는 설명한다.
[이미지 = utoimage]
딥블루매직은 정상적인 암호화 도구인 베스트크립트 볼륨 엔크립션(BestCrypt Volume Encryption)을 사용하여 피해자들을 공격하는 것으로 분석되고 있다. 이 BCVE는 제티코(Jetico)라는 업체에서 개발한 소프트웨어다. 공격자들은 이를 활용해 모든 드라이브들을 암호화 하는데, 이 때 C 드라이브는 제외된다. 주로 공격 당하는 플랫폼은 윈도 서버 2012 R2다.
아직 딥블루매직 운영자들이 피해자 네트워크에 어떤 식으로 최초 침투하는지는 정확히 밝혀지지 않고 있다. 악성 원본 실행 파일도 아직까지는 구하지 못했다고 헤임달 시큐리티 측은 설명한다. 랜섬웨어가 스스로를 삭제하기 때문이라고 한다. “하지만 여러 가지를 분석한 결과 감염된 시스템의 D 드라이브를 제일 먼저 암호화 하기 시작한다는 것과, 암호화를 시작함과 동시에 거의 곧바로 암호화 프로세스를 종료시킨다는 걸 알아냈습니다. 이 때문에 D 드라이브 전체가 암호화 되는 게 아니라 일부만 암호화 됩니다. 즉 드라이브 하나를 인식 불가 상태로만 만들어 놓는 것입니다.”
이렇게까지 작업이 진행되면 피해자가 윈도 OS 인터페이스를 통해 해당 드라이브에 접근할 때마다 디스크에 오류가 있다는 메시지를 돌려받게 된다. 당연히 암호화 되지 않은 부분에 대한 접근도 거부된다. 제티코의 BCVE는 정상적인 암호화 도구이기 때문에 암호화 과정 중에 복구 파일이 생성되긴 한다. 하지만 공격자들이 이 복구 파일을 삭제하거나 암호화시키기 때문에 활용할 수가 없다.
최근에 개발되는 모든 랜섬웨어가 그렇지만 딥블루매직은 본격 암호화를 시작하기에 앞서 행위 기반 위협 탐지 도구들을 비활성화 하도록 설계되어 있다. 다만 딥블루매직의 경우 그러한 솔루션들을 골라서 비활성화하는 게 아니라 모든 서드파티 윈도 서비스들을 비활성화시킨다. 그런 후 암호화까지 진행하고 마치면, 윈도 볼륨 셰도(Windows Volume Shadow) 복사본을 삭제한다. 이 때문에 드라이브를 복구하는 게 더 어려워진다. 그 다음에는 MS의 비트로커(BitLocker) 암호화 소프트웨어를 피해 조직의 액티브 디렉토리에 있는 모든 엔드포인트에 활성화시키려는 시도를 이어간다.
네트워크 보안 업체 뉴넷테크놀로지스(New Net Technologies)의 부회장인 더크 슈레이더(Dirk Schrader)는 딥블루매직 운영자들이 사용하는 전략에 대해 “새롭고 신선하다”고 말한다. “파일 기반 암호화 공격은, 암호화가 진행되는 과정 중에 발견되기 일쑤입니다. 많은 양의 파일들을 암호화 하는 공격을 할 때 그리 좋은 점이 되지 못하죠. 하지만 볼륨 전체를 암호화 하는 건 좀 다른 양상을 띱니다. 좀 더 유연하고, 따라서 여러 가지 전략을 구사할 수 있게 됩니다.” 다만 디스크 암호화를 시작하자마자 중단하는 이유는 정확히 알 수 없다.
슈레이더는 “아마도 공격 과정의 시간을 줄임으로써 효율을 높이고자 하는 것으로 보인다”고 추측한다. “윈도에서 운영되는 모든 서드파티 프로세스들을 중단시키는 것도 역시 효율성 때문이 아닐까 합니다. 그게 아니라면 헤임달에서 찾아낸 것이 초기 버전의 공격 혹은 실험 운영 단계의 공격을 찾아낸 것일 수도 있습니다. 이 전략이 성공적으로 판명된다면, 더 많은 랜섬웨어 공격자들이 활용할 수도 있습니다.”
랜섬웨어 공격자들이 디스크 전체를 암호화 한다는 것 자체가 완전히 새로운 전략은 아니다. 다만 파일 암호화보다 확연히 드문 건 사실이라고 보안 업체 디지털 셰도우즈(Digital Shadows)의 알렉 알바라도(Alec Alvarado)는 설명한다. “시스템 자체를 사용 불가능한 상태로 만드는 것이기 때문에 파일을 못 열람하게 만드는 것과 차원이 다른 피해를 입힐 수도 있고, 따라서 돈을 요구하는 게 더 쉬워집니다.”
알바라도는 공격자들이 모든 사람들이 누구나 사용할 수 있는 암호화 도구를 활용했다는 것을 “개발에 드는 시간을 줄이기 위한 방법”일 것으로 보고 있다. “2016년에 나타난 맘바(Mamba) 랜섬웨어 그룹이 기억납니다. 이들 역시 디스크 기반 암호화 기술을 활용했었습니다. 딥블루매직처럼 디스크크립터(DiskCryptor)라는 오픈소스 암호화 도구를 사용했고요. 디스크 암호화는 복구 가능성을 훨씬 더 낮추므로 위협적일 수밖에 없습니다. 앞으로 이런 공격이 더 늘어날 가능성이 분명히 존재합니다.”
3줄 요약
1. 새로운 랜섬웨어 딥블루매직 등장.
2. BCVE라는 정상 암호화 도구 사용해 D드라이브부터 암호화 시작.
3. 디스크 암호화 기술은 파일 암호화보다 복구가 더 어렵고 피해가 더 클 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 새로운 랜섬웨어가 또 등장했다. 이름은 딥블루매직(DeepBlueMagic)이며, 공격 대상이 되는 조직의 네트워크에서 다양한 디스크 드라이브들을 표적으로 삼고 암호화시킨다고 한다. 엔드포인트에 침투해 파일들을 암호화 하는 것과는 확연히 다른 움직임이라고 보안 업체 헤임달 시큐리티(Heimdal Security)는 설명한다.
[이미지 = utoimage]
딥블루매직은 정상적인 암호화 도구인 베스트크립트 볼륨 엔크립션(BestCrypt Volume Encryption)을 사용하여 피해자들을 공격하는 것으로 분석되고 있다. 이 BCVE는 제티코(Jetico)라는 업체에서 개발한 소프트웨어다. 공격자들은 이를 활용해 모든 드라이브들을 암호화 하는데, 이 때 C 드라이브는 제외된다. 주로 공격 당하는 플랫폼은 윈도 서버 2012 R2다.
아직 딥블루매직 운영자들이 피해자 네트워크에 어떤 식으로 최초 침투하는지는 정확히 밝혀지지 않고 있다. 악성 원본 실행 파일도 아직까지는 구하지 못했다고 헤임달 시큐리티 측은 설명한다. 랜섬웨어가 스스로를 삭제하기 때문이라고 한다. “하지만 여러 가지를 분석한 결과 감염된 시스템의 D 드라이브를 제일 먼저 암호화 하기 시작한다는 것과, 암호화를 시작함과 동시에 거의 곧바로 암호화 프로세스를 종료시킨다는 걸 알아냈습니다. 이 때문에 D 드라이브 전체가 암호화 되는 게 아니라 일부만 암호화 됩니다. 즉 드라이브 하나를 인식 불가 상태로만 만들어 놓는 것입니다.”
이렇게까지 작업이 진행되면 피해자가 윈도 OS 인터페이스를 통해 해당 드라이브에 접근할 때마다 디스크에 오류가 있다는 메시지를 돌려받게 된다. 당연히 암호화 되지 않은 부분에 대한 접근도 거부된다. 제티코의 BCVE는 정상적인 암호화 도구이기 때문에 암호화 과정 중에 복구 파일이 생성되긴 한다. 하지만 공격자들이 이 복구 파일을 삭제하거나 암호화시키기 때문에 활용할 수가 없다.
최근에 개발되는 모든 랜섬웨어가 그렇지만 딥블루매직은 본격 암호화를 시작하기에 앞서 행위 기반 위협 탐지 도구들을 비활성화 하도록 설계되어 있다. 다만 딥블루매직의 경우 그러한 솔루션들을 골라서 비활성화하는 게 아니라 모든 서드파티 윈도 서비스들을 비활성화시킨다. 그런 후 암호화까지 진행하고 마치면, 윈도 볼륨 셰도(Windows Volume Shadow) 복사본을 삭제한다. 이 때문에 드라이브를 복구하는 게 더 어려워진다. 그 다음에는 MS의 비트로커(BitLocker) 암호화 소프트웨어를 피해 조직의 액티브 디렉토리에 있는 모든 엔드포인트에 활성화시키려는 시도를 이어간다.
네트워크 보안 업체 뉴넷테크놀로지스(New Net Technologies)의 부회장인 더크 슈레이더(Dirk Schrader)는 딥블루매직 운영자들이 사용하는 전략에 대해 “새롭고 신선하다”고 말한다. “파일 기반 암호화 공격은, 암호화가 진행되는 과정 중에 발견되기 일쑤입니다. 많은 양의 파일들을 암호화 하는 공격을 할 때 그리 좋은 점이 되지 못하죠. 하지만 볼륨 전체를 암호화 하는 건 좀 다른 양상을 띱니다. 좀 더 유연하고, 따라서 여러 가지 전략을 구사할 수 있게 됩니다.” 다만 디스크 암호화를 시작하자마자 중단하는 이유는 정확히 알 수 없다.
슈레이더는 “아마도 공격 과정의 시간을 줄임으로써 효율을 높이고자 하는 것으로 보인다”고 추측한다. “윈도에서 운영되는 모든 서드파티 프로세스들을 중단시키는 것도 역시 효율성 때문이 아닐까 합니다. 그게 아니라면 헤임달에서 찾아낸 것이 초기 버전의 공격 혹은 실험 운영 단계의 공격을 찾아낸 것일 수도 있습니다. 이 전략이 성공적으로 판명된다면, 더 많은 랜섬웨어 공격자들이 활용할 수도 있습니다.”
랜섬웨어 공격자들이 디스크 전체를 암호화 한다는 것 자체가 완전히 새로운 전략은 아니다. 다만 파일 암호화보다 확연히 드문 건 사실이라고 보안 업체 디지털 셰도우즈(Digital Shadows)의 알렉 알바라도(Alec Alvarado)는 설명한다. “시스템 자체를 사용 불가능한 상태로 만드는 것이기 때문에 파일을 못 열람하게 만드는 것과 차원이 다른 피해를 입힐 수도 있고, 따라서 돈을 요구하는 게 더 쉬워집니다.”
알바라도는 공격자들이 모든 사람들이 누구나 사용할 수 있는 암호화 도구를 활용했다는 것을 “개발에 드는 시간을 줄이기 위한 방법”일 것으로 보고 있다. “2016년에 나타난 맘바(Mamba) 랜섬웨어 그룹이 기억납니다. 이들 역시 디스크 기반 암호화 기술을 활용했었습니다. 딥블루매직처럼 디스크크립터(DiskCryptor)라는 오픈소스 암호화 도구를 사용했고요. 디스크 암호화는 복구 가능성을 훨씬 더 낮추므로 위협적일 수밖에 없습니다. 앞으로 이런 공격이 더 늘어날 가능성이 분명히 존재합니다.”
3줄 요약
1. 새로운 랜섬웨어 딥블루매직 등장.
2. BCVE라는 정상 암호화 도구 사용해 D드라이브부터 암호화 시작.
3. 디스크 암호화 기술은 파일 암호화보다 복구가 더 어렵고 피해가 더 클 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
