다양한 전문조직으로 분화되면서 확장되는 RaaS 생태계
[데이터넷] ‘유출한 데이터를 공개하겠다’고 협박하는 것이 랜섬웨어의 대세로 굳어지고 있다. 무브잇 취약점을 이용하는 클롭 랜섬웨어, TSMC를 해킹한 락비트, 미국 토론사이트 레딧을 공격한 블랙캣(Alphv) 등이 유출한 데이터를 공개하겠다며 몸값을 요구하고 있다.
최근 공격자들이 데이터 암호화가 아니라 ‘공개’에 중점을 두는 이유는 ‘더 쉽게 돈을 받을 수 있어서’이다. 데이터를 암호화 한 후 몸값을 요구하는 전통적인 방법은 더 이상 공격자들의 수익을 보장하지 못한다. 몸값을 지불해도 암호화된 데이터를 정상적으로 복구할 수 없다는 사실을 알게 된 피해자들이 몸값 지불을 거부하기 때문이다. 또 비정상적인 데이터 암호화 시도를 감지해 조기 대응하는 보안 솔루션이 늘어나 공격 성공률이 낮아지고 있는 것도 한 몫 한다.
데이터를 유출한 후 이를 인질로 잡고 공격하는 방식은, 대량의 데이터를 암호화하는 것 보다 리소스가 덜 들고, 중간에 들킬 위험이 상대적으로 낮다. ‘돈을 주면 데이터는 안전하다’고 피해자를 회유하면 돈을 받아낼 가능성을 높일 수 있다. 몸값을 받아낸 후 다른 데이터 판매조직에 팔아넘기면 추가 수익을 얻을 수 있다는 이점도 있다. 또 유출한 데이터 중에는 피해조직의 고객·파트너사 데이터가 포함돼 있을 수 있어 몸값 받아내기에 더 유리하다.
IAB로 공격 더 빠르게 전개
랜섬웨어 공격자들은 더 빠르게, 더 쉽게, 더 많은 돈을 벌 수 있는 방법을 다양하게 시도하고 있다. 데이터 공개 협박, 디도스를 통한 서비스 중단 협박, 공격당했다는 사실을 언론과 경쟁사에 알리겠다는 협박 등으로 몸값을 뜯어낸다.
이를 한층 더 효과적으로 하기 위해 다양한 계열사와 함께 ‘비즈니스’ 모델을 만들고 있는데, 악성코드를 개발하는 전문조직 뿐만 아니라, 유출한 데이터를 지하 포럼에 게시해 피해조직이 돈을 줄 수밖에 없도록 만드는 조직, 개발자와 마케터 등 랜섬웨어 서비스(RaaS) 운영에 필요한 조직 등의 다양한 전문성을 가진 조직들이 함께 한다.
이 중 최근 가장 눈에 띄는 활약을 보이는 것이 IAB(Initial Access Broker)이다. SK쉴더스의 월간 위협 인텔리전스 리포트 ‘이큐스트 인사이트’ 7호에서는 고도화되는 랜섬웨어 시장을 분석하면서 IAB의 활약에 대해 자세히 설명했다.
IAB는 중요 조직으로 침투할 수 있는 계정을 탈취해 초기 침투 기반까지 마련한 후 다른 조직에게 이를 서비스한다. 최종 공격자가 공격을 수행하고 수익을 얻어내는데 걸리는 시간을 단축시키고, 공격 성공률을 높이게 한다. RaaS 계열사에는 IAB 뿐만 아니라 랜섬웨어 악성코드 개발 조직, 공격자와 연결시켜주는 브로커, 개발자, 마케터 등 RaaS 운영을 위한 인력을 모집하는 조직 등 다양한 전문조직이 포함된다.
미국, 클롭 정보 제공자에 1000만달러 현상금 걸어
최근 가장 위험한 공격그룹으로 주목받는 클롭 랜섬웨어는 TA505로도 불리며, 2016년 활동한 크립토믹스에서 진화한 그룹이다. 이들은 취약점을 이용한 대규모 공격을 일삼고 있으며, 2월에는 고애니웨어 MFT 취약점을 악용했고, 최근에는 무브잇 취약점을 악용한다. 이들은 데이터를 암호화하지 않고 탈취하는 것을 선호하며, “돈을 지급하면 피해조직의 데이터는 안전할 것”이라고 주장한다. 미국 정부는 클롭에 대한 정보를 제공하는 사람에게 1000만달러의 현상금을 제공한다고 밝히기도 했다.
TSMC 데이터 유출로 세계를 시끄럽게 하고 있는 락비트는 지금까지 미국 기업으로부터 9100만달러를 갈취한 전력이 있다. 최근 락비트 활동에 가담한 이들이 미국과 러시아 수사기관에게 검거되기도 했으며, 클롭의 대규모 공격으로 세계의 이목이 집중되자 유출한 데이터를 미루는 모습도 보이고 있다.
한편 국내에서는 MS-SQL 서버 대상 맬로스(Mallox) 랜섬웨어가 여전히 활개를 치고 있다. 이들은 exe 파일뿐만 아니라 BAT 파일 확장자도 사용하고 있다. BAT 파일은 윈도우 스크립트 파일로, 일련의 작업을 자동화할 때 사용하는데, 공격자는 이를 악용해 파워셸 스크립트 실행 악성코드 페이로드 전달에 사용한다.
크라이시스 랜섬웨어 그룹이 취약한 RDP를 통해 브루트포스 공격, 댁셔너리 공격으로 계정정보를 획득, 비너스 랜섬웨어를 유포한 정황도 포착됐다. 이들은 포트스캐너, 미미카츠 등의 도구를 이용해 내부 시스템으로 공격 범위를 확장시켰다.
보고서에서는 “6월 한 달간 발생한 랜섬웨어 피해 사례는 439건으로, 5월에 비해 적게 발생했지만, 신·변종 랜섬웨어가 꾸준히 등장해 여전히 위험한 상황이다. 또한 IAB 시장 활성화로 랜섬웨어 그룹의 초기 침투가 쉽고 빠르게 진행될 수 있어 이를 통해 단시간에 대량의 공격을 수행할 수 있다”고 설명했다.
