보안

“의료기관 노린다” 미국 FBI, 마우이 랜섬웨어 경고

John P. Mello Jr. | CSO 2022.07.12
美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 악성코드를 사용해 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다. 

FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 설명했다. 
 
ⓒ Getty Images Bank

연방기관이 주의보를 발령한 가운데, 위협 사냥, 탐지, 대응 전문업체 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면, 마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보인다.
 

마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다

보안 컨설팅 업체 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 평가했다. 시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이라는 것이다.

그는 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다. 이는 중요한 파일만 표적으로 삼고 복구할 수 있게 하며, 운영체제 파일이 암호화됐을 때도 전체 서버를 다시 구축할 필요가 없는 랜섬웨어 그룹의 이른바 ‘선의(good faith)’를 보여준다”라고 말했다.

이러한 방식은 자동화된 랜섬웨어에서 생성된 경고를 찾는 방어자의 눈을 멀게 할 수 있다. 그러나 성숙한 방어팀이라면 전체 환경이 암호화되기 전에 대응할 수 있으며, 시스템이나 환경을 처음부터 다시 빌드하는 대신 특정 폴더의 백업에서 복구하는 것도 가능하다.
 

랜섬웨어는 수동 연구 및 분석이 필요하다 

IT 및 디지털 보안 운영 업체 넷엔리치(Netenrich)의 수석 위협 사냥꾼 존 밤베넥에 따르면, 대부분의 지능형 악성코드 운영자가 소프트웨어에 일부 수동 제어 기능을 구축한다. 그는 “파괴적인 랜섬웨어 공격을 하려면 위협 행위자는 중요한 자산과 약점을 수동으로 식별해야 한다. 자동화된 (랜섬웨어) 도구로는 각 조직의 고유한 측면을 모두 식별해 완전하게 장약할 수 없다. 일부 수동 연구 및 분석이 수반된다”라고 말했다.

AI 사이버 보안 업체 벡트라(Vectra)의 SaaS 보호 부문 CTO 애런 터너는 “북한이 마우이 캠페인에 연루돼 있다면 랜섬웨어 공격은 침입자의 2차 목표가 될 수 있다. 이러한 선택적 암호화 사용으로 볼 때 마우이 캠페인은 단순한 랜섬웨어 활동이 아니다. 지적재산권 도용, 산업 스파이, 랜섬웨어를 통합한 수익화 활동일 가능성이 크다”라고 말했다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.