보안

주시해야 할 4개의 신흥 랜섬웨어 위협 집단

Michael Hill | CSO 2021.08.26
팔로알토 네트웍스의 유닛 42(Unit 42)의 새로운 연구에 따르면, 현재 기업에 피해를 주면서 앞으로 더 큰 위협이 될 조짐이 보이는 4개의 새로운 랜섬웨어 집단이 확인됐다. 이 4개 집단은 아보스록커(AvosLocker), 하이브 랜섬웨어(Hive Ransomware), 헬로우키티(HelloKitty), 록빗(LockBit) 2.0이다. 
 
ⓒ Getty Images Bank


떠오르는 랜섬웨어 위협 집단 

팔로알토의 최신 보고서 ‘주시해야 할 랜섬웨어 집단(Ransomware Groups to Watch)’는 “레빌(REvil)과 다크사이드(Darkside)와 같은 주요 랜섬웨어 집단이 법 집행기관의 집중 단속과 언론의 관심을 피하기 위해 이름을 변경함에 따라 더 이상 적극적으로 특정 피해자를 목표로 삼지 않는 새로운 집단이 등장할 것”이라고 밝혔다. 이번 보고서에서 팔로알토의 수석 위협 연구원 루크나 니감과 위협 인텔리전스 분석가 도엘 산토스는 4개의 랜섬웨어 집단의 구체적인 행동을 분석했다.

- 아보스록커: 2021년 7월에 처음 관찰된 아보스록커는 RaaS(Ransomware as a Service)로 작동하며, 다크웹 토론 포럼인 드레드(Dread)에 서비스를 광고하는 아보스(avos)에 의해 제어된다. 랜섬 노트에는 피해자를 식별하는 데 사용되는 정보와 ID가 포함되어 있으며, 감염된 사용자들에게 복구 및 데이터 복원을 위해 아보스록커 토르 사이트를 방문하도록 지시한다. 이 보고서에 따르면, 몸값은 5만~7만 달러 정도의 모네로(Monero)를 요구했으며, 전 세계 7개 기관이 감염됐다.
  
- 하이브 랜섬웨어: 이 보고서에 따르면, 2021년 6월에 운영을 시작한 하이브 랜섬웨어는 의료 기관을 비롯해 사이버 공격을 방어할 준비가 되어 있지 않은 기업들을 표적으로 삼았다. 이 집단은 또 다른 28곳의 피해자에 대한 세부 정보를 게시하기 전에 첫 번째 피해자를 유출 사이트인 하이브 리크스(Hive Leaks)에 공개했다. 

이 연구진은 “이 랜섬웨어가 실행되면 2개의 배치 스크립트를 삭제한다. 첫 번째 스크립트인 hive.bat는 자체 삭제를 시도하고, 두 번째 스크립트는 시스템의 섀도 복사본(shadow.bat)을 삭제하는 역할을 담당한다. 하이브 랜섬웨어는 암호화된 파일에 [randomized characters].hive 확장자를 추가하고, 데이터 손실을 방지하기 위한 지침과 지침이 포함된 HOW_TO_DECRYPT.txt라는 랜섬 노트를 떨군다"라고 설명했다. 
 
피해자는 랜섬 노트를 통해 공격자와의 채팅 기능으로 안내되어 복호화에 대해 논의한다. 연구진은 이 랜섬웨어의 전달 방법에 대해 정확하게 밝히진 않았지만, 무차별 대입(brute-forcing) 공격이나 스피어피싱(spear-phishing)과 같은 전통적인 방법을 사용한 것으로 추정한다.

- 헬로키티 리눅스 에디션: 헬로키티 랜섬웨어는 2020년에 주로 윈도우 시스템을 대상으로 등장했다. 이 랜섬웨어의 이름은 HelloKittyMutex를 사용하는 데서 유래했다. 2021년 팔로알토는 윈도우용 헬로키티 샘플에서 볼 수 있는 랜섬 노트와 일치하는 랜섬 노트를 포함해 funy_linux.elf라는 이름의 리눅스 ELF 파일 샘플을 탐지했다. 3월에 추가 샘플이 발견됐는데, 이 최신 리눅스 랜섬웨어 변종은 VM웨어의 ESXi를 표적으로 삼았다. 

연구진은 “이상하게도 다양한 샘플의 랜섬 노트에서 공격자가 선호하는 통신 방식은 토르 URL과 피해자 별 프로톤메일(ProtonMail) 주소가 섞여 있다. 이는 동일한 악성코드 코드베이스를 사용하는 서로다른 캠페인 또는 전혀 다른 위협 행위자를 나타낼 수 있다”라고 설명했다. 

공격자들은 몸값으로 최대 1,000만 달러에 달하는 모네로를 요구했지만 비트코인도 받아들일 의향을 보였다. 이 랜섬웨어는 ECDSA(Elliptic Curve Digital Signature Algorithm)를 사용해 파일을 암호화한다.

- 록비트 2.0: 이전에 ABCD 랜섬웨어로 알려진 록비트 2.0은 RaaS로 작동하는 또 다른 집단이다. 2019년부터 운영 중이지만, 팔로알토는 이 집단의 공격 수단에서 최신의 것을 발견했는데, 이 공격자들이 운영중인 변형 모델은 현존 가장 빠른 암호화 소프트웨어라고 주장했다.

2021년 6월 이후, 이 집단은 전 세계 52곳 기업을 손상시켰다. 연구진은 “위협자들이 유출 사이트에 올린 모든 게시물에는 기밀 정보가 대중에게 공개될 때까지 카운트다운하는 내용이 포함돼 있어 피해자에게 추가적인 압박을 가한다”라고 전했다. 

록비트 2.0가 실행되면 파일 암호화를 시작하고 .lockbit 확장자를 추가한다. 암호화가 완료되면 Restore-My-Files.txt라는 랜섬 노트가 피해자에게 침해 사실을 알리고 복호화 단계에 대한 조언을 제공한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.