Home > 전체기사

FBI, 새로운 랜섬웨어 그룹 원퍼센트에 대한 경고 발표해

  |  입력 : 2021-08-25 15:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
FBI가 원퍼센트라는 랜섬웨어 공격 단체에 대한 경고를 발표했다. 이름만 빼면 특별할 것이 없는 단체라 ‘왜, 굳이, 지금?’이라는 의문이 들긴 하지만 아무튼 주의해야 할 위협이 하나 더 생겼다는 건 분명하다.

[보안뉴스 문가용 기자] 원퍼센트(OnePercent)라는 이름의 랜섬웨어 운영 단체가 북미 지역을 중심으로 활동력을 왕성하게 늘려가고 있다는 경고가 FBI로부터 나왔다. FBI의 경고에 의하면 원퍼센트는 악성 집 파일이 첨부된 피싱 이메일을 통해 최초 침투를 한다고 한다. 피해자가 이를 받아 압축을 해제하면 악성 매크로가 심긴 워드 및 엑셀 문서가 나타나 발동되며, 그 결과 시스템에 아이스드아이디(IcedID)라는 뱅킹 트로이목마가 설치된다. 아이스드아이디는 코발트 스트라이크(Cobalt Strike) 등 추가 페이로드를 다운로드 받는다. 그러면서 본격적인 공격이 시작된다는 게 FBI의 설명이다.

[이미지 = utoimage]


‘본격적인 공격’이란 최근 랜섬웨어 공격자들 사이에서 유행하는 것 그대로 ‘파일 유출’과 ‘파일 암호화’를 말한다. 현재까지 밝혀진 바 원퍼센트는 AWS S3 스토리지 버킷, 파워셸, 코발트 스트라이크, 미미캐츠(Mimikatz), 샤프스플로잇(SharpSploit), 샤프캐츠(SharpKatz)와 같은 도구들을 활용하고 있다. 대부분 정상적 보안 연구를 위해 만들어진 도구들이지만 해커들이 더 잘 사용하게 된, 그래서 멀웨어라고 명확히 구분하기 힘든 것들이다.

원퍼센트 피해자들에게 공격 사실을 알리는 메모를 시스템에 남기는데, 이 메모에는 “데이터가 암호화 되기도 했고 공격자의 손에 넘어가기도 했다”는 내용과, 어떻게 범인들에게 연락해야 하는지 알려주는 안내가 포함되어 있다. 공격자들은 토르에 채널을 운영하고 있으며, 피해자가 안내대로 공격자의 사이트에 접속하면 금액 협상에 들어간다. 1주일 넘게 피해자가 아무런 연락을 하지 않으면 피해자에게 전화를 건다. 이 때 “랜섬웨어 협상 담당자를 바꾸라”고 요구한다고 한다. 만약 전화를 걸었는데도 피해자가 별 다른 반응을 보이지 않으면 “데이터를 모조리 공개하겠다”는 내용의 이메일을 보낸다.

이래도 답을 보내지 않으면 공격자는 드디어 정보의 일부를 공개하기 시작한다. 이 일부가 1% 정도 된다고 하며, 그래서 이들은 스스로를 원퍼센트 그룹이라고 부른다. 그래도 피해자가 요지부동이면 원퍼센트 운영자들은 유명 랜섬웨어 그룹인 소디노키비(Sodinokibi - 레빌이라고도 알려져 있음)의 이름을 대기 시작한다. 이들에게 당신의 정보를 팔겠다는 것이다. 그러면서 소디노키비는 데이터를 가지고 경매를 진행하기 때문에 잘 생각해야 할 것이라고 경고한다. FBI는 이런 점진적 협박이 피해자의 심리를 흔든다는 측면에서 효과적일 수 있다고 설명한다.

현재 랜섬웨어 산업은 정선기를 구가하고 있다. 그렇기 때문에 원퍼센트와 같은 신흥 세력들이 끝도 없이 등장하는 중이다. 단순히 중흥기를 맞이해서 그런 게 아니라, ‘서비스형 랜섬웨어(RaaS)’라는 것이 등장하면서 누구나 랜섬웨어 공격을 할 수 있게 되었다는 점이 크게 작용한 것으로 분석된다. 다크사이드(DarkSide), 레빌(REvil), 록빗(LockBit), 넷워커Netwalker) 등 종류도 다양하다. 돈만 조금 투자하면 누구나 랜섬웨어 사업을 벌일 수 있는 것이다.

보안 업체 디지털 셰도우즈(Digital Shadows)의 위협 분석가인 알렉 알바라도(Alec Alvarado)는 “FBI가 지금 시점에 신생 랜섬웨어 그룹에 대한 경고를 발표한 것이 쉽게 이해가지 않는다”는 입장이다. “물론 랜섬웨어 공격 그룹에 대해 알리는 것 자체야 틀리지 않습니다. 하지만 이렇게 긴급하게 원퍼센트라는 그룹만을 꼭 집어서 알린다는 것, 그것도 그리 특별할 것도 없는 단체에 대해 경고한 건 왜일까요?”

이에 대해 두 가지 가능성이 존재하는 것으로 알바라도는 추측한다. “하나는 앞으로 원퍼센트의 위협이 크게 증가할 거라는 근거를 FBI가 확보했을 수도 있다는 겁니다. 우리가 모르는 뭔가가 있을 수 있다는 뜻이죠. 다른 하나는 민간 부문에서 원퍼센트에 대한 경고가 거의 나오지 않은 상황이기 때문에 FBI가 나선 것일 수 있습니다. 원퍼센트는 확실히 언급이 안 되는 공격 단체이긴 합니다.”

3줄 요약
1. 1%라는 이름 달고 나온 또 다른 랜섬웨어 신진 세력, FBI가 경고.
2. 피해자에게 여러 단계로 연락하는데, 이중에는 직접 전화하는 것도 포함되어 있음.
3. 지금은 무명에 가까운 그룹이지만, 언젠가 크게 자랄 수도.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)