“러시아 해킹그룹, 국제 제재 받자 RaaS로 전환”
상태바
“러시아 해킹그룹, 국제 제재 받자 RaaS로 전환”
  • 김선애 기자
  • 승인 2022.06.07 09:00
  • 댓글 0
이 기사를 공유합니다

맨디언트 “드라이덱스 유포하던 이블코프, 락비트 RaaS로 수익모델 전환”
사이버 범죄 수사 회피 위해 새로운 공격 도구 사용

[데이터넷] 러시아 기반 사이버 범죄 조직에 대한 제재 조치로 랜섬머니를 받기 어려워지자 범죄자들이 서비스형 랜섬웨어(RaaS)로 비즈니스 모델을 전환하고 있으며, 그 중 하나가 전 세계적으로 막대한 피해를 입힌 ‘락비트(LOCKBIT)’인 것으로 나타났다.

맨디언트가 공개한 블로그에 따르면 이블코프(Evil Corp) 공격그룹이 2019년 미국 재무부 해외자산통제국(OFAC)로부터 제재를 받고 범죄자금을 걷어들이기 어렵게 되자 다른 수익 모델로 RaaS를 선택한 것으로 보인다. 이블코프는 드라이덱스(DRIDEX) 악성코드를 만들고 높은 수익을 얻을 수 있는 랜섬웨어로 운영방식을 전환하고 있었다.

▲이블코프 제휴 행위자와 관련 있는 것으로 추정되는 랜섬웨어

▲이블코프 제휴 행위자와 관련 있는 것으로 추정되는 랜섬웨어

맨디언트는 락비트 랜섬웨어를 유포하는 RaaS 조직 UNC2165를 조사해왔으며, 이들의 공격 방식이 이블코프와 중복돼 있다는 것을 발견했다. 락비트는 피해자 네트워크에 침투하기 위해 가짜 업데이트 파일을 이용하는 등 드라이덱스가 사용하는 기술·전술·프로세스(TTP)를 사용하는 증거가 발견됐다.

UNC2165는 내부 네트워크 침투 후 미미카츠(Mimikatz), 케르베로스팅(Kerberoasting), 윈도우 레지스트리 저장 인증 데이터 탈취, 자격 증명이 일반 텍스트로 담긴 문서나 파일 검색 등을 이용해 자격증명 탈취, 권한 상승으로 주요 데이터에 접근했다. 엔터프라이즈 암호 관리자에 직접 접근해 암호를 빼내기도 했으며, 윈도우 파워셸을 이용해 정찰하고 일반적으로 많이 사용하는 관리도구를 이용해 수평이동하면서 데이터 수집 범위를 넓혀갔다.

맨디언트 블로그는 “미국 정부가 랜섬웨어 운영에 관련된 범죄조직과 불법자금을 받은 암호화폐 거래소도 제재 대상에 포함시키면서 범죄자들이 랜섬웨어 운영에 지장을 받게 됐다. 이블코프는 UNC2165로 전환하고, 락비트라는 RaaS를 제공하면서 더 경제적이고 수익성 높은 범죄를 이어가고 있다”고 설명했다.

이어 블로그는 “보안업계 전문가들이 UNC2165를 다른 범죄자들과 구분하기 어렵게 만들어 추적을 회피하고 있다. 이들은 이블코프와 연관성 있는 공격도구를 사용하지 않기 위해 새로운 공격 벡터를 이용하거나 도난당한 자격증명을 이용할 수 있다. 맨디언트는 현재 제재 대상인 범죄자뿐 아니라 이들이 제재에서 벗어나기 위해 자신의 신분을 모호하게 해 보안 분석가들이 식별하지 못하는 범죄도 식별할 수 있도록 도울 것”이라고 밝혔다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.