"레빌 가니 랜섬 카르텔 왔다" 랜섬웨어 해킹조직 '세대 교체'

지난해 레빌(REvil), 콘티(Conti)와 같은 주요 해킹 조직이 와해된 후 서비스형 랜섬웨어(RaaS) 조직인 랜섬 카르텔(Ransom Cartel)의 공격이 본격화됐다. 2021년 12월에 출범한 것으로 추정되는 랜섬 카르텔은 레빌을 연상시키는 공격적인 악성코드와 전술로 그동안 교육, 제조, 유틸리티, 에너지 분야의 기업에 피해를 줬다.
 

이 해킹 조직은 데이터를 암호화하고, 훔친 다음 자체 데이터 유출 웹사이트에 이 정보를 공개하겠다는 협박하는 이른바 이중 갈취(double extortion) 수법을 사용한다. 여기에 그치지 않고 가능한 최대한의 평판 훼손을 위해 민감한 정보를 피해 기업의 파트너나 경쟁사, 뉴스 매체에 보내겠다고 협박도 한다.

팔로알토 네트웍스(Palo Alto Networks)의 위협 인텔리전스 연구소 '유닛42'의 연구원들은 랜섬웨어 코드를 분석해 “랜섬 카르텔 조직은 레빌 랜섬웨어 소스 코드의 초기 버전은 구했지만 최신 버전은 입수하지 못한 것으로 보인다. 최근은 아니라 해도 한때 두 그룹 간에 관계가 있었음을 알 수 있는 대목”이라고 말했다.
 

초기 액세스와 횡적 이동 툴셋

랜섬 카르텔 해커들은 피해 기업에 대한 초기 액세스 권한을 획득하기 위해 주로 훔친 자격 증명을 사용한다. 여기에는 인터넷, 원격 데스크톱 프로토콜(RDP), 보안 셸 프로토콜(SSH), 가상 사설망(VPN)에서 액세스할 수 있는 다양한 서비스의 자격 증명이 포함된다. 랜섬 카르텔의 계열 조직원(랜섬웨어를 배포하고 그 대가로 몸값에서 상당한 지분을 받는 해커들)이 직접 이러한 자격 증명을 구하는 경우도 있고, 지하 시장의 초기 액세스 브로커를 통해 얻기도 한다.

팔로알토 네트웍스 연구원들은 “초기 액세스 브로커는 침해된 네트워크 액세스 권한을 판매하는 자들이다. 이들은 스스로 사이버 공격을 하기보다는 다른 위협 행위자에게 액세스 권한을 판매하는 편을 선호한다. 랜섬웨어는 수익성이 좋은 만큼 브로커들은 보통 RaaS 그룹이 제안하는 금액에 따라 관계를 맺고 활동한다. 우리는 랜섬 카르텔이 이와 같은 형태의 서비스를 활용해 랜섬웨어 배포를 위한 초기 액세스 권한을 획득했다는 증거를 확보했다”라고 말했다.

일단 기업 네트워크 내부로 진입하면 랜섬 카르텔 해커의 목표는 부가적인 자격 증명을 훔쳐 윈도우 및 리눅스 VM웨어 ESXi 서버 액세스 권한을 획득하는 것이다. 이들은 윈도우 데이터 보호 API(DPAPI)를 사용해 저장된 자격 증명을 찾아 덤프하는 DonPAPI라는 오픈소스 툴을 사용한 것으로 확인됐다.

DonPAPI는 DPAPI 블롭에서 윈도우 작업 스케줄러, 윈도우 볼트, 윈도우 RDP, 와이파이 키, 애드커넥트(AdConnect) 등이 저장한 자격 증명을 검색한다. 또한 인터넷 익스플로러, 크롬, 파이어폭스, VNC, mRemoteNG에서 DPAPI 이외의 기밀 정보도 추출할 수 있다. 브라우저에 저장되는 자격 증명에는 VM웨어 v센터 인터페이스에 인증하는 데 사용되며 ESXi 서버에 액세스할 수 있는 자격 증명이 포함되기도 한다. 팔로알토 연구원들은 “안티바이러스(AV) 또는 엔드포인트 탐지 및 대응(EDR)에서 탐지될 위험을 피하기 위해 파일을 다운로드해서 로컬로 해독한다”라고 말했다.

해커들은 v센터 인증 후 SSH를 활성화하고 사용자 식별자(UID)를 0으로 설정해서 새 계정을 만든다. 리눅스에서 이는 루트를 의미한다. 이 방법으로 보안 검사를 건너뛰고 서버에 대한 지속적 액세스 권한을 유지할 수 있다. 리눅스 시스템에서 사용되는 파일 암호화 프로그램은 ESXi 스냅샷, 로그 파일, 스왑 파일, 페이징 파일, 가상 디스크와 관련된 .log, .vmdk, .vmem, .vswp, .vmsn 파일을 찾는다.

랜섬 카르텔 해커들은 그 외에 라자냐(LaZagne)와 미미캐츠(Mimikatz) 자격 증명 덤프 툴도 사용했다. IT 관리자 사이에서 인기 있는 PDQ 인벤토리(PDQ Inventory)라는 이름의 합법적인 툴은 네트워크를 스캔하면서 하드웨어, 소프트웨어 및 윈도우 구성에 대한 정보를 수집하는 데 사용됐다.

그 외에 이들이 사용한 것으로 확인된 툴은 네트워크 스캔을 위한 어드밴스드 포트 스캐너(Advanced Port Scanner)와 netscan.exe, SSH 연결을 위한 퍼티(Putty), 원격 데스크탑용 애니데스크(AnyDesk), 공격 지휘를 위한 코발트 스트라이크(Cobalt Strike) 해킹 버전, 데이터 유출을 위한 R클론(Rclone) 등이 있다. 프린트나이트메어(PrintNightmare) 익스플로잇(CVE-2021-1675, CVE-2021-34527, CVE-2021-34481)은 특권 승격에 사용됐다.
 

레빌 코드와의 유사성

이 윈도우 랜섬웨어 프로그램에는 암호화 루틴에 사용된 공격자의 Curve25519-donna 키, 암호화하지 않을 파일과 폴더 및 확장자 목록, 종료할 프로세스 및 시스템 서비스 목록, 랜섬 노트 내용이 포함된 암호화된 구성 파일이 있다.

프로세스 목록에는 BackupExecVSSProvider, 빔(Veem), 아크로니스(Acronis)와 같은 백업 서비스, 마이크로소프트 익스체인지 및 MSSQL과 같은 데이터베이스 서비스, 소포스(Sophos)와 같은 보안 제품, 이메일 클라이언트, 브라우저 등이 있다.

암호화 루틴에서는 로컬 Curve25519 키 쌍을 생성한 다음 세션 키 쌍을 생성한다. 이 키 쌍에서 개인 키는 랜섬웨어 구성에 포함돼 배포되는 공격자의 공개 키와 쌍이 된다. 이렇게 만들어진 결과 키는 SHA3으로 해싱되며 이 해시가 AES 암호화의 키로 사용된다. 부가적인 세션 키도 생성되며 여기에는 최종적으로 Salsa20 알고리즘을 사용해 암호화되는 각 파일에 대한 공개-개인 키 쌍이 있다.

팔로알토 연구원들은 “세션 비밀을 생성하는 이 방법은 2020년 아모시스(Amossys)의 연구팀이 문서화했다. 아모시스의 분석은 소디노키비(Sodinokibi)/레빌 랜섬웨어의 업데이트된 버전에 초점을 맞췄는데, 여기서 레빌 소스 코드와 최신 랜섬 카르텔 샘플 간에 직접적으로 중복되는 부분을 볼 수 있다”라고 설명했다.

레빌과 랜섬 카르텔의 랜섬웨어 프로그램은 암호화 및 키 생성 방법의 유사성 외에 암호화된 구성이 랜섬웨어 바이너리에 저장되는 방식, 해독된 후 포맷되는 방식에서도 겹치는 부분이 있다. 다만 레빌에는 랜섬 카르텔 구성에 없는 더 많은 항목이 있는데 이는 랜섬 카르텔 해커들이 일부 기능을 삭제했거나 단순히 레빌의 이전 변형에만 접근할 수 있었음을 시사한다.
 

레빌과 비슷한 랜섬 노트

또 다른 유사성은 랜섬 노트다. 랜섬 카르텔 초기 변형에 사용된 랜섬 노트의 서식과 말투는 레빌에 사용된 것과 거의 똑같았다. 유일한 차이점은 피해자와의 연락에 사용되는 토르(Tor) 웹사이트 사용 안내였다. 이 웹사이트에 접속하려면 피해자별로 랜섬웨어가 생성하는 고유한 키를 사용한 인증이 필요하다. 2022년 8월에 발견된 후기 버전 들어서는 랜섬 노트가 많이 바뀌었다.

팔로알토 연구원들은 “두 악성코드에서 특히 흥미로운 차이점은 레빌은 문자열 암호화, API 해싱 등을 활용해 랜섬 카르텔 그룹에 비해 훨씬 더 강력하게 랜섬웨어를 난독화하는 반면 랜섬 카르텔은 구성 외에는 거의 아무런 난독화 기법을 사용하지 않는다는 것이다. 이는 레빌에 사용된 난독화 엔진을 랜섬 카르텔이 입수하지 못했다는 의미일 수 있다”라고 설명했다.

레빌의 높은 주목도를 감안하면 랜섬 카르텔 측에서는 레빌과의 관련성이 달갑지 않아 의도적으로 관련성을 숨길 가능성도 있다. 레빌 또는 소디노키비는 2019년에서 2021년 사이 활동하면서 랜섬웨어 코드의 루틴을 통한 자동화된 감염에 의존하지 않고 수동으로 랜섬웨어를 배포하는 방식을 개척했다. 이를 위해 APT 스타일의 사이버 스파이 공격에 사용되는 횡적 이동과 현지 조달(living-off-the-land) 기법을 채용했고, 이것이 현재 대부분의 랜섬웨어 그룹이 사용하는 전술의 기반이 됐다.
 

랜섬 카르텔과 레빌의 관련성

레빌은 이와 같은 기법을 통해 많은 기업을 해킹했고 결과적으로 각국 정부가 가장 심각한 수준으로 주목하는 대상이 됐다. 2021년 7월 레빌의 한 계열 조직원이 카세야(Kaseya)라는 회사에서 개발한 IT 관리 툴의 제로데이 취약점을 악용했다. 이 공격으로 전 세계 30개 이상의 관리형 서비스 제공업체(MSP)와 이들 MSP가 관리하는 1,000개 이상의 기업 네트워크가 피해를 봤다. 사고는 미국 대통령 조 바이든과 러시아 대통령 블라디미르 푸틴 간의 대화를 촉발했고, 바이든은 랜섬웨어 그룹에 대해 더 강경한 조처를 할 것을 러시아 당국에 촉구했다.

러시아 경찰의 소탕작전 덕분인지 그로부터 2개월 뒤 레빌은 운영을 중단하고 조직도 와해됐다. 2021년 11월 미국 법무부는 레빌 계열 조직원 2명을 기소한다고 발표했다. 그 중 1명은 카세야 공격에 연루된 것으로 추정되는 인물로 폴란드에서 체포됐다. 동시에 유로폴은 다른 레빌 계열 조직원 5명을 체포했다고 발표했다. 레빌 조직이 집중적인 단속 대상이 된 만큼 일부가 쪼개져 나와 다른 이름으로 조직을 결성했을 가능성도 충분히 있다.

팔로알토 연구원들은 “랜섬 카르텔 조직이 초기 레빌 랜섬웨어 소스 코드는 확실히 손에 넣었지만 문자열을 암호화하고 API 호출을 숨기는 데 사용하는 난독화 엔진은 입수하지 못했다는 사실을 근거로 볼 때 랜섬 카르텔 운영진은 한때 레빌 그룹과 관계가 있었다가 이후 자체 활동을 시작한 것으로 추정된다. 랜섬 카르텔이 널리 알려진 기업을 노리고 있다는 점과 우리가 파악한 랜섬 카르텔 사례가 꾸준히 발생하고 있음을 감안하면 이들은 앞으로도 계속해서 기업을 공격하고 갈취할 가능성이 높다”라고 말했다.
editor@itworld.co.kr