보안 인식 교육 업체 노비4(KnowBe4)의 방어 에반젤리스트 로저 그림스에 따르면, 전 세계 대부분 기업이 VM웨어 가상머신을 사용해 운영하고 있다. 그림스는 “랜섬웨어 공격자가 작업하기 쉬운 환경이다. 하나의 서버(VM웨어 서버)만 암호화하면 여기에 포함된 모든 게스트 가상머신을 암호화할 수 있기 때문이다. 한 번의 공격 및 암호화 명령으로 수십에서 수백 대의 가상 실행 컴퓨터를 쉽게 암호화한다”라고 지적했다.
그림스는 “가상머신 솔루션 업체 대부분은 일종의 VM 백업 제품으로 모든 게스트 서버를 백업한다. 따라서 하나의 백업 리포지토리를 찾아서 삭제하거나 손상시키면 호스팅된 모든 게스트 서버의 백업 이미지까지 한 번에 사라진다”라고 덧붙였다.
치어스크립트 공격 집단, ‘이중 갈취’ 기법 사용
트렌드 마이크로 소속 연구원 아리안 델라 크루즈, 바이런 겔레라, 맥저스틴 드 구즈만, 워렌 스토가 블로그에 게재한 설명에 따르면, 치어스크립트 공격 집단은 암호화 경로를 지정하는 입력 매개변수를 획득한 후 모든 VM 관련 파일을 암호화할 수 있는지 테스트하기 위해 모든 VM 프로세스를 종료하는 명령을 실행한다. 또한 연구팀은 치어스크립트 공격 집단이 표적에게 몸값을 얻어내기 위해 이중 갈취(double extortion) 기법을 사용하고 있다고 경고했다. 공격 집단이 몸값을 요구하는 메시지는 ‘보안 경보!!!(Security Alert!!!)’로 시작하며, “우리가 당신의 컴퓨터를 성공적으로 해킹해 모든 파일을 탈취하고 암호화했다. 파일을 복구하거나 유출을 피하고 싶다면 우리에게 연락하라”라는 내용의 협박이 이어진다.
트렌드 마이크로 연구팀은 치어스크립트가 공개/비밀키 암호화 기법으로 표적 서버에서 파일을 섞는다. 랜섬웨어 실행 파일에는 공개키가 포함돼 있으며, 공격자는 공개키로 암호화된 파일 해독에 필요한 비밀키를 보유한다. 공격 집단은 소세마누크(SOSEMANUK) 스트림 암호로 파일을 암호화하고 ECDH(Elliptic-curve Diffie–Hellman)로 키를 생성한다.
연구팀 “공격 확대할 것으로 예상”
연구팀은 ESXi가 엔터프라이즈 환경에서 서버를 가상화할 때 폭넓게 사용되므로 랜섬웨어 공격의 인기 표적이라고 설명했다. 즉, 랜섬웨어가 다른 기기로 매우 신속하게 퍼질 수 있다. 따라서 연구팀은 악의적인 행위자들이 최대한 많은 시스템 및 플랫폼을 감염시켜 더 많은 금전적 이득을 취하기 위해 랜섬웨어를 업그레이드할 것으로 예상했다. 보안 인증 솔루션 업체 토큰(Token)의 CEO 존 건은 “점점 많은 기업이 생체 인식을 사용한 다중 인증을 도입해 보안을 강화하는 추세다. 이는 해커들이 주로 선택하는 취약점이었던 ‘정문’을 효과적으로 방어하는 방법이다. 그러나 다중 인증을 도입한다고 해서 위협 행위자가 공격을 멈추지는 않는다. 이들은 공격 방법을 치어스크립크와 같은 방식으로 변경할 것이다”라고 말했다.
editor@itworld.co.kr