정상 서명 윈도우 드라이버 이용 등 지능적 우회공격 급증
이스트시큐리티 차단한 2분기 랜섬웨어 하루 485건
[데이터넷] 다중갈취 공격으로 많은 피해를 입혔던 바북록커 랜섬웨어 소스코드를 이용한 변종이 지난해 하반기부터 대거 발견되고 있다.
이스트시큐리티가 5일 발표한 2023년 2분기 랜섬웨어 주요 동향에 따르면 바북록커 소스코드를 이용한 변종이 무수히 등장하고 있으며, 그 중 RA 그룹 랜섬웨어가 우리나라 제약회사도 공격하면서 존재를 과시하고 있다. RA 그룹은 지난 4월 22일 다크웹에 데이터 유출 사이트를 개설하면서 존재를 알렸으며, 미국과 우리나라 제조, 자산관리, 보험, 제약 등의 사업을 타깃으로 하고 있다.
바북록커는 2021년 처음 등장해 피해자에 따라 고유 확장자, 랜섬노트, 토르 URL 등을 다르게 했으며, 이중갈취 전략으로 피해를 더 크게 만들었다. 2021년 6월 바북록커 랜섬웨어 빌더가 온라인에 유출됐으며, 이 코드를 이용해 제작된 랜섬웨어가 활발하게 활동하고 있다.
아스트록커(AstraLocker), 마리오(Mario), RTMLocker, 로르샤흐(Rorschach) 등 많은 랜섬웨어들이 유출된 바북록커 소스코드를 재활용해 제작된 것으로 확인됐다. 많은 공격자들이 바북록커 소스코드를 이용하는 이유는 리눅스 기반 랜섬웨어로 ESXi 서버를 대상으로 하는 공격에 사용할 수 있기 때문으로 추측된다.
감염된 무브잇 공급망 악용 랜섬웨어 ‘극성’
이스트시큐리티가 공개한 최근 랜섬웨어 동향은 매우 정교하게 보안 탐지를 우회한다는 점이다. 대표적인 예로, 블랙캣 랜섬웨어가 사용하는 푸어트리(POORTRY) 악성코드의 업데이트 버전을 들 수 있다. 지난해 마이크로소프트 윈도우 하드웨어 개발자 프로그램에서 서명키가 유출됐으며, 이 키로 서명된 POORTRY 커널 드라이버가 유포됐다. 이 악성 드라이버는 해킹된 시스템에서 권한 상승을 하고 보안 에이전트와 관련된 프로세스를 중지하는 등의 기능을 수행한다.
로르샤흐 랜섬웨어도 상용 보안 소프트웨어의 서명된 구성 요소를 사용해 유포되고 있다. 윈도우 도메인 컨트롤러에서 실행될 때 자동으로 그룹 정책을 생성해 네트워크를 통해 빠르게 전파되며, "syscall" 명령을 사용해 직접 시스템 호출을 수행한다.
로르샤흐는 록비트 3.0보다 2배 빠른 암호화 속도를 자랑하고 있다. 전체 파일 내용이 아닌 파일의 일부만 암호화해 암호화 속도를 향상시키고 효율성을 높였다. 다만 이중 갈취를 위해 데이터를 유출하지는 않는 것으로 확인됐다.
공격 흔적을 최소화 해 분석을 어렵게 하는 랜섬웨어도 등장했다. 랩쳐(Rapture) 랜섬웨어는 RSA 키 구성 파일을 사용하고 .net 실행파일로 컴파일하는데, 더미다(Themida)를 이용해 패킹하고 최소한의 흔적만을 남겨 분석을 어렵게 한다.
위협적인 공급망 공격으로 부상하고 잇는 무브잇 침해사고를 클롭 랜섬웨어 그룹이 가장 적극적으로 이용하고 있다. 클롭은 2021년부터 이 취약점을 알고 있었으며, 취약점을 이용한 익스플로잇을 시도했던 것으로 확인됐다. 그러나 이들은 2년동안 실제 공격을 하지 않다가 지난 6월 1일부터 공격을 시작했으며, BBC, 영국항공 등 많은 기업들이 피해를 입고 있다.
중소기업만 노리는 랜섬웨어도 등장했다. 에잇베이스(8base) 랜섬웨어는 지난해 3월 처음 등장했으며, 지난 4월~5월까지 소수의 공격을 진행하다가 6월부터 활동이 급증해 보안이 취약한 중소기업 80개 이상을 공격했다. 이들은 랜섬하우스(RansomHouse), 포보스(Phobos) 랜섬웨어와 연관성이 보이기도 한다.
윈도우·리눅스·맥OS 모두 감염시키는 랜섬웨어도 등장했다. 사이클롭스(Cyclops) 공격 그룹은 RaaS를 통해 윈도우, 리눅스, 맥OS를 모두 감염시킬 수 있는 랜섬웨어를 제공한다. 맥OS, 리눅스 버전의 사이클롭스 랜섬웨어는 고(Go) 언어로 작성돼 있으며, 비대칭 암호화·대칭 암호화가 혼합된 복잡한 암호 알고리즘을 사용한다.
다양한 민감 데이터를 탈취하기 위해 Go 기반 인포스틸러도 제공한다. 이 인포스틸러는 윈도우, 리눅스 시스템을 대상으로 설계돼 운영체제 정보, 컴퓨터 이름, 특정 확장자와 일치하는 파일 등의 세부정보를 캡처하며, 특정 확장자 파일에 대해서는 수집해 원격 서버로 전송한다. 사이클롭스 랜섬웨어의 암호화 알고리즘 및 문자열 난독화 기술은 바북 랜섬웨어와 록빗 랜섬웨어와 유사해, 이 두 랜섬웨어와의 연관성이 있다고 추측되고 있다.
공개용 ‘알약’으로 차단한 랜섬웨어 4만4000여개
한편 이스트시큐리티는 2분기 자사 백신 프로그램 ‘알약’에 탑재돼 있는 ‘랜섬웨어 행위기반 사전 차단’기능을 통해 총 4만3645건의 랜섬웨어 공격을 차단했다고 밝혔다. 이를 하루 기준으로 환산하면 일평균 485건이 차단된 셈이다.
이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지 건까지 포함한다면 전체 공격은 더욱 많을 것으로 보인다.
이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있다.
