표적 랜섬웨어, 웨이스티드로커가 피해자로부터 수백만 달러를 갈취한 방법

웨이스티드로커(WastedLocker)는 2020년 5월부터 기업과 기관을 공격하기 시작한 랜섬웨어 프로그램으로, 피해자별로 수백만 달러에 달하는 몸값을 요구하는 것으로 유명하다. 웨이스티드로커를 만든 이들은 미국에서 형사 기소된 상황에서도 10년 넘게 활동을 해오고 있는 고도의 기술력을 보유한 사이버 범죄자 그룹이다.

 

웨이스티드로커 만든 이블 코프, 드라이덱스 악성코드와 봇넷 운영 

웨이스티드로커를 만든 그룹은 스스로를 이블 코프(Evil Corp)로 칭하며, 소속된 범죄자 가운데 일부는 사이버 범죄 세계에서 오래 전부터 활동해왔다. 이 그룹은 2011년부터 드라이덱스(Dridex) 악성코드와 봇넷(botnet)을 운영하는 것으로 가장 잘 알려졌지만 지난 수년 동안 여러 랜섬웨어 프로그램도 만들어 배포했다.

크라이덱스(Cridex), 부가트(Bugat)라는 이름으로도 알려진 드라이덱스는 피해자의 브라우저에 가짜 로그인 페이지를 주입해서 온라인 뱅킹 인증 정보를 훔치는 트로이목마 프로그램으로 시작됐다. 미국 법무부는 2019년 12월 러시아 국적의 막심 야쿠베츠와 이고르 투라셰프를 드라이덱스 악성코드 제작 및 운영 혐의로 다른 여러 명과 함께 기소했다.

야쿠베츠는 오래 전인 2009년의 금전 갈취 사건에도 연루된 것으로 지목됐으며 악명높은 제우스(Zeus) 뱅킹 트로이목마에도 관여했다. 제우스 트로이목마의 소스코드는 2010년 유출된 후 드라이덱스를 포함한 다른 많은 뱅킹 트로이목마의 기반으로 사용됐다. 야쿠베츠와 투라셰프는 FBI의 사이버 지명 수배자 명단에 올라있으며, 미국 수사기관은 야쿠베츠 체포로 이어지는 정보 제공에 대해 최대 500만 달러의 포상금을 걸었다. 미국 재무부 역시 이블 코프 그룹에 대한 제재를 시행했다.

지난 수년 동안 드라이덱스는 뱅킹 트로이목마에서 악성코드 배포 플랫폼으로 발전했으며, 제작자들은 카바낙/FIN7(Carbanak/FIN7), TA505를 포함한 다른 악명높은 사이버 범죄 그룹과 연대해 활동하기도 했다. 보안업체 NCC 그룹의 보고서에 따르면, 2017년 말부터 드라이덱스 활동은 축소됐으며 그 대신 이블 코프는 비트페이머(BitPaymer)부터 시작해 랜섬웨어 배포에 주력하고 있다. 이들은 짧은 기간 동안 비트페이머를 배포하는 데 사용된 트릭봇(TrickBot) 트로이목마의 배후 그룹과도 협력한 데 이어, 현재까지 가장 성공적인 표적 랜섬웨어 프로그램인 류크(Ryuk)도 사용하기 시작했다.

비트페이머는 주로 미국 기업과 소수의 서유럽 기업을 표적으로 삼아 활동했는데 2019년에는 도펠페이머(DoppelPaymer)라는 랜섬웨어도 등장했다. NCC에 따르면, 도펠페이머는 비트페이머와 다른 서비스형 랜섬웨어 모델을 기반으로 한다. 이블 코프의 활동과 일부 겹치는 부분이 있지만 도펠페이머와 이 그룹의 관계는 명확하지 않다.

NCC는 보고서에서 “미 법무부의 기소, 재무부의 이블 코프에 대한 조치 이후 2020년 1월까지 잠시 동안 이블 코프의 활동이 멈췄다. 2020년 1월부터 다시 활동이 시작되고 피해자가 분포한 지역도 이전과 동일하게 나타나고 있지만, 이는 대중에게 이블 코프가 아직 활동 중임을 알리기 위한 전략적 움직임일 수 있다. 2020년 3월 중반부터는 비트페이머 배포에 관한 한 이들의 활동은 뜸한 편이다. 물론 이 기간은 코로나19 팬데믹으로 인한 격리 기간과도 겹친다”라고 설명했다.

웨이스티드로커, 비트페이머 대체

웨이스티드로커는 이블 코프가 만든 완전히 새로운 랜섬웨어 프로그램으로, 5월부터 기업을 중심으로 퍼지기 시작했다. 비트페이머와 코드를 공유하지 않지만 몸값을 요구하는 문구와 피해자별 맞춤 구성 측면에서 유사한 점이 있다. 활동을 멈춘 3월에서 5월 사이 이블 코프는 웨이스티드로커와 그 외의 위협 요소를 개발 중이었을 가능성이 있다.

연구원들은 최근 이 그룹이 고지(Gozi) 악성코드의 변종을 배포하고 있음을 확인했다. 고지는 향후 피해자 네트워크에 상주하는 백도어 역할로 드라이덱스를 대체할 가능성이 있다. 또한 맞춤형 툴인 코발트 스트라이크(Cobalt Strike) 로더는 이블 코프가 사용하는 것으로 알려진 엠파이어 파워셸(Empire PowerShell) 프레임워크를 대체할 것으로 추측된다. 

코발트 스트라이크와 파워셸 엠파이어 모두 침투 테스터를 위해 설계된 익스플로잇 후(post-exploitation) 프레임워크지만 몇 년 사이 해커 그룹과 사이버 범죄자 사이에도 많이 퍼졌다. 파워셸 엠파이어의 주 개발자들은 수개월 전에 프로젝트에서 손을 떼기로 했다.

NCC는 이블 코프가 “모든 수준에서 네트워크 방어를 우회할 수 있는 고도의 기술을 보유한 익스플로잇 및 소프트웨어 개발자들을 섭외할 수 있다. 이 그룹은 엔드포인트 보호 제품을 우회하는 데 많은 공을 들이는 것으로 보인다. 이런 추론은 이블 코프 악성코드의 특정 버전이 피해자 네트워크에서 발각되면 얼마 지나지 않아 탐지가 안 되는 다른 버전을 갖고 돌아와서 계속 활동한다는 사실에 근거한다. 피해자 관점에서 이는 발생하는 각 사고를 완전히 파악하는 것이 중요하다는 것을 보여준다. 기술 수준이 높은 범죄자들을 상대할 때는 이들이 만든 한 가지 요소를 탐지하거나 차단한다고 해서 물리쳤다는 의미가 아니다”라고 경고했다.

현재까지 웨이스티드로커의 공격 피해를 입은 눈에 띄는 기업 중 하나는 항공, 해양, 피트니스 등에 사용되는 개인용 웨어러블 및 GPS 내비게이션 제품을 제조하는 미국 IT업체인 가민(Garmin)이다. 가민은 7월 웨이스티드로커의 공격을 받았고 그 결과 전세계에서 항공기 조종사가 사용하는 서비스를 포함한 많은 서비스가 중단됐다. 보도에 따르면, 공격자는 1,000만 달러의 몸값을 요구했다. 이들에게 실제 얼마를 지불했는지는 확실치 않지만 어쨌든 가민은 돈을 주고 공격자에게서 해독 키를 받았다.

표적 및 수동 조작 랜섬웨어 공격의 배후에 있는 범죄 조직이 대부분 그렇듯이, 이블 코프도 각 피해자의 규모와 비즈니스 프로필에 따라 악성 프로그램과 랜섬웨어를 맞춤화한다. 지금까지 확인된 웨이스티드로커 몸값 요구액은 50만 달러에서 1,000만 달러 사이로, 현재 위협 요소 중에서 금액이 가장 큰 편에 속한다.

웨이스티드로커 피해자의 대다수는 비트페이머의 경우와 마찬가지로 미국에 소재한 조직이다. 이블 코프는 피해자의 백업을 찾아 파괴하는 데 많은 공을 들이지만, 최근 다른 랜섬웨어 조직이 하는 것처럼 데이터를 훔쳐 이를 온라인에 게시하거나 경매로 판매한다고 협박해 금전을 갈취하는 등 랜섬웨어 공격 실패에 대비한 수법은 아직 사용하지 않고 있다.

맬웨어바이트(Malwarebytes)의 연구진은 분석 보고서에서 “전반적으로 볼 때 이 그룹이 네트워크로 진입하는 입구를 발견했다면 적어도 파일의 일부분을 암호화하는 것을 막는 것은 불가능하다. 이와 같은 경우 롤백 기술이 있거나 일종의 오프라인 백업을 두지 않은 한 파일을 구할 방도가 없다. 온라인 상태 또는 그 외의 다른 방식으로 연결된 백업은 공격 시 함께 암호화될 가능성이 높다. 이렇게 되면 애초에 백업을 두는 의미가 없어지는 것이다”라고 설명했다.

웨이스티드로커의 작동 방식과 특징

시만텍, 맬웨어바이트 및 기타 보안 업체의 보고서에 따르면, 웨이스티드로커의 감염 고리의 시작은 합법적이지만 침해된 웹사이트에 알림을 표시하는 방식으로 가짜 브라우저 업데이트로 배포되는 속골리시(SocGholish)라는 자바스크립트 기반 공격 프레임워크다. 해킹된 뉴스 웹사이트가 일반적인 벡터로 사용된다. 속골리시 프레임워크는 ZIP 파일로 배포되며 열어서 실행하면 파워셸 스크립트와 코발트 스트라이크 백도어를 다운로드해 실행하는 공격 고리가 시작된다. 이블 코프는 과거에도 이 배포 기법과 프레임워크를 사용해서 드라이덱스 트로이 목마를 배포한 적이 있다. 이는 이블 코프의 오래된 수법이다.

범죄자들은 기업의 네트워크에 있는 컴퓨터에 접근할 수 있게 되면 정찰을 하면서 다양한 자급자족형 툴을 배포해 인증 정보를 훔치고 권한을 승격하고 횡적 이동을 통해 다른 시스템으로 옮겨간다. 공격자의 목표는 클라우드에서 실행되는 파일 서버, 데이터베이스 서버, 가상 머신과 같이 가치가 높은 시스템에 대한 접근 권한을 획득한 다음 피해자별로 맞춤 구성된 웨이스티드로커 바이너리를 배포하는 것이다.

지난 수년 동안 랜섬웨어 조직을 포함한 사이버 범죄자들이 과거 정부의 후원을 받는 그룹이 사이버 첩보 활동에 사용했던 공격 수법을 많이 채택하면서 수동 해킹과 시스템 관리 또는 오픈소스 침투 테스트 툴을 사용하는 추세가 나타나고 있다. 이 추세는 APT에 대한 방어를 구축할 IT 예산과 리소스가 없지만 랜섬웨어 조직과 기타 금전을 노리는 사이버 범죄자들의 빈번한 표적이 되는 중소 기업에게는 심각한 문제가 된다.

웨이스티드로커는 다른 표적 랜섬웨어 프로그램과 비슷한 파일 암호화 루틴에서 AES와 RSA 암호화의 조합을 사용한다. 모든 파일은 즉석에서 생성되는 고유한 256비트 AES 키로 암호화된다. 이러한 AES 키, 그리고 암호화된 파일에 대한 다른 정보는 웨이스티드로커 바이너리에 하드코딩된 4096비트 공개 RSA 키로 암호화된다. 공격자들은 AES 키를 복구하고 개별 파일의 암호를 해독하는 데 필요한 RSA 키 쌍의 개인 부분을 보유한다.

카스퍼스키(Kaspersky)의 분석에 따르면, 이 암호화 루틴은 강력하고 제대로 구현되어 있기 때문에 피해자는 공격자의 개인 RSA 키가 없으면 파일을 복구할 수 없다. 모든 표적마다 맞춤 설정되는, 수동으로 배포되는 랜섬웨어이므로 공격자들은 각각의 피해자에 대해 고유한 RSA 키 쌍을 생성한다. 따라서 기업이 몸값을 지불한 후 받은 개인 키로는 다른 기업의 파일 암호화를 해독할 수 없다.

웨이스티드로커에는 구분되는 몇 가지 측면이 있다. 일단 공격자가 암호화 루틴 중 특정 디렉터리를 우선 순위화할 수 있는 메커니즘이 있다. 이 메커니즘은 가장 중요하고 가치 있는 파일이 암호화 프로세스 중 가장 먼저 암호화되도록 보장하는데, 오랜 시간이 걸리는 암호화 프로세스 특성상 시스템 관리자에게 발각되어 프로세스가 중단되는 경우에 대비한 것으로 보인다.

웨이스티드로커는 모든 암호화된 파일에 피해자의 이름과 “wasted”라는 단어로 된 확장자를 붙인다. 예를 들어 가민 공격의 경우에는 original_file_name.garminwasted가 된다. 또한 모든 파일에 대해 몸값 요구 문구가 있는 텍스트 파일을 생성하므로 경우에 따라 모든 디렉터리마다 몸값 요구 문구가 수백, 수천 개씩 생성된다.

웨이스티드로커는 윈도우 OS가 생성하는 기본 백업인 섀도우 복사본을 삭제하며, 네트워크를 통해 원격 백업을 포함한 파일의 암호화를 시도한다. DLL 하이재킹과 같은 권한 상승 기법을 사용해 시스템 권한을 획득하고 암호화 라우팅을 수행하는 서비스를 설치한다. 이 서비스는 암호화 프로세스가 완료되면 중지된다.

시만텍 연구진은 “웨이스티드로커의 배후 공격자들은 기술과 경험이 풍부하며 가장 잘 보호되는 기업도 침투해 인증 정보를 훔치고 네트워크를 손쉽게 돌아다니는 것으로 보인다. 따라서 웨이스티드로커는 매우 위험한 랜섬웨어다. 성공적인 공격이 이뤄질 경우 피해자의 네트워크가 마비되어 심각한 운영 중단과 많은 비용이 드는 사후 처리로 이어질 수 있다”라고 경고했다. editor@itworld.co.kr