[데이터넷] 서비스형 랜섬웨어(RaaS)를 이용해 랜섬웨어 공격자들이 목표 조직에 더 신속하게 도달하고 공격에 성공할 수 있게 됐다.

맨디언트가 FIN12 랜섬웨어 조직을 분석한 보고서에 따르면 이들은 초기 침투부터 공격까지 이틀이 채 걸리지 않았다. 속도전에 강한 이들의 평균 이행 시간(TTR)은 4일 미만이었으며, 매년 속도가 향상돼 올해는 2일 미만을 달성했다.

맨디언트가 지난해 조사한 랜섬웨어 공격자의 평균 TTR은 5일이었다. 이들은 공격 속도를 높이기 위해 다른 공격집단으로부터 초기 액세스 권한을 구입하는 등 공격 단계마다 전문성 있는 조직과 협력하는 것으로 나타났다.

맨디언트 보고서에 따르면 FIN12는 코로나19 기간 동안 의료산업을 집중 공격해 전체 공격의 20%가 의료산업을 타깃으로 한 것이었다. 이외에도 공공·금융·제조 등 대규모 조직을 타깃으로 했다. 이들은 러시아어를 주로 사용하는 것으로 보여, 독립국가연합(CIS)을 중심으로 활동하는 것으로 의심된다.

최근 랜섬웨어 공격자들이 데이터를 강탈한 후 암호화하는 이중협박을 일삼는 것과 달리 FIN12는 빠르게 랜섬웨어 공격만을 진행해 높은 수익을 얻는 것으로 알려진다.

이들은 트릭봇(TRICKBOT) 그룹과 긴밀한 파트너십을 유지한 것으로 분석되는데, 트릭봇은 가장 성공적인 랜섬웨어 조직으로 인정받는 류크(RYUK)에 계정정보를 판매하면서 적극 협력한 조직으로 알려져 FIN12와 류크가 연관돼 있을 것으로 추측했다.

이들은 트릭봇 외에도 에이로더(ARLOADER)·바자백도어(BAZARBACKDOOR)라고 불리는 UNC2053 공격도구를 사용해 초기 액세스를 시도했으며, 그림에이전트(GrimAGENTAGENT) 백도어를 이용해 악성 프로그램 배포와 피싱 캠페인을 진행한 것으로 분석된다.

UNC2600을 이용해 악성 PDF·피싱 등의 공격을 펼치고, 코드서명 인증서를 탈취해 합법적인 소프트웨어로 위장해 공격했으며, 탈취한 자격증명을 이용해 마이크로소프트365에 액세스 해 사용자 권한으로 악성메일을 배포하는 침해 행위도 발견됐다. 더불어 불법 입수한 자격증명을 이용해 RDP·VPN 접속을 시도하고 SMB를 이용해 공격 대상을 확대했다.

김선애 기자 다른기사 보기