“훔친 데이터 공개하겠다” 협박하는 공격 그룹
상태바
“훔친 데이터 공개하겠다” 협박하는 공격 그룹
  • 김선애 기자
  • 승인 2017.07.04 09:30
  • 댓글 0
이 기사를 공유합니다

파이어아이 “북미지역 타깃 공격그룹 ‘FIN10’, 돈 주지 않으면 데이터 공개 혹은 파괴”

데이터를 탈취한 후 돈을 주지 않으면 이를 공객하거나 파괴한다고 협박하는 공격그룹에 대한 분석보고서가 나왔다. 파이어아이는 4일 북미지역 카지노, 광산업체를 공격하는 ‘FIN10’ 분석 보고서를 발표하며, 이 공격그룹이 데이터 몸값을 지불하지 않으면 데이터를 공개하거나 공격 대상 조직의 정보 자산 및 시스템을 파괴한다.

FIN10은 2013년부터 2016년까지 캐나다를 비롯한 북미 지역에서 활동하며, 카지노 및 광산업계 조직의 네트워크를 공격한다. FIN10은 주로 공개적으로 사용 가능한 소프트웨어, 스크립트, 기술을 통해 피해자 네트워크에 침투한 다음 일반인들이 접근 가능한 웹 사이트에 탈취한 데이터의 증거를 게시한다

FIN10의 최초 침입은 주로 스피어피싱 이메일을 통해 이뤄지며, 이후에는 미터프리터(Meterpreter), 파워쉘 엠파이어(PowerShell Empire) 스플린터랫(SplinterRAT) 등 많이 사용되는 툴로 내부 시스템을 해킹한다. 이후, 피해자의 파일 서버에 접속해, 기업 비즈니스 데이터, 파일, 기록, 서신 및 고객 PII를 포함한 파일을 탈취한다.

FIN10은 드롭박스와 같은 클라우드 기반 파일 공유 및 저장 솔루션을 이용해 탈취한 데이터를 전송 받으며, “pastebin.com,” “justpaste.it” 및 “thepiratebay.se” 등의 공개적으로 접근 가능한 웹사이트를 통해 탈취한 데이터를 보여준다. FIN10은 탈취한 데이터의 몸값으로 100~150개의 비트코인(약 12만5000 달러에서 60만달러)을 요구한다.

10일 안에 비트코인을 지불하지 않으면, 1차로 회사 및 고객 데이터 일부를 인터넷에 공개하고 탈취한 정보에 나와 있는 고객에게 이메일을 통해 탈취 사실을 알린다. 72시간 안에 지불하지 않으면, 2번째 데이터 덤프를 진행하고, 이후 매 72시간마다 다크웹이나 토렌트 사이트에 누구나 다운로드 받을 수 있도록 공개한다.

FIN10은 두 해킹 사건에서 비트코인 지급을 끝까지 거부할 경우 윈도우 서버의 시스템 파일을 삭제하는 배치 스크립트를 실행하며 중요 시스템을 대상으로 마이크로소프트 robocopy 툴을 이용해 윈도우 디렉토리를 삭제했다.

▲robocopy 툴 예시

전수홍 파이어아이코리아 지사장은 “FIN10의 경우 주로 북미지역을 타겟으로 하고 있지만, 다른 지역에서도 금전적인 동기를 가지고 활동하는 해킹 그룹이 많이 존재하고 있다. 따라서, 전 세계의 모든 조직은 지능적인 사이버 공격의 위협을 탐지하고 대응할 준비가 되어 있어야 한다”라며 “또한 언제든지 공격자들이 더 고도화 되고 진화된 방식으로 돌아올 가능성이 있으므로, 광범위한 보안 개선에 초점을 맞춰 미리 대비하는 지혜가 필요하다”라고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.