Home > 전체기사

새로운 랜섬웨어 강자 후보? 페이투키에 주의하라

  |  입력 : 2020-11-13 16:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최근 2주 동안 덩치 큰 조직들 다수 침투…네트워크 암호화에 걸리는 시간은 1시간
고급 기술력 갖춘 자들이 배후에 있는 듯…이란의 해커일 가능성 현재로선 높아


[보안뉴스 문가용 기자] 지난 2주 동안 빠르게 퍼져가고 있는 신종 랜섬웨어에 많은 보안 전문가들의 이목이 집중되고 있다. 이미 이스라엘과 유럽의 대형 기업들이 여럿 당했으며, 곧 전 세계적인 위협이 될 전망이다. 보안 업체 체크포인트(Check Point)가 새 랜섬웨어인 페이투키(Pay2Key)에 대한 보고서를 발표했다.

[이미지 = utoimage]


이 보고서에 따르면 페이투키 랜섬웨어는 기존의 다른 랜섬웨어들 대부분이 그렇듯 원격 데스크톱 프로토콜(RDP) 서비스를 익스플로잇 함으로써 피해자 네트워크에 침투해 횡적으로 움직여 감염의 피해를 최대화 시킨다고 한다. 또한 다른 침투 방법도 보유하고 있을 가능성이 높은 것으로 보인다.

페이투키는 피해자의 네트워크에 최초 침투하는 데 성공한 이후 거점이 될 만한 장비나 프록시를 제일 먼저 설정한다. 그리고 이 장비를 통해 페이투키 C&C 서버와 통신한다. 단 하나의 장비만으로 외부 서버와 통신을 하는 전략 덕분에 암호화 이전에 탐지되는 걸 많은 경우 회피할 수 있다고 한다. 페이투키 운영자들은 psexec라는 유틸리티를 사용해 횡적으로 움직이며 여러 시스템에 페이투키를 심는다.

페이투키 랜섬웨어 역시 최신 랜섬웨어처럼 파일을 암호화 하기 전에 외부로 빼돌린다. 피해자가 협상에 응하지 않을 경우 공개하기 위함이다. 페이투키 운영자들은 피해자들에게 7~9 비트코인 정도를 요구하는 편인데, 이는 현 시세로 11만 3천 달러에서 14만 5천 달러 수준이다. 현재까지 최소 네 곳의 피해 조직들이 데이터를 돌려 받기 위해 돈을 낸 것으로 보이며, 최소 세 곳이 돈을 내지 않아 정보가 공개되는 피해를 입었다.

공격자들은 현재 토르 기반 웹사이트를 마련하여 정보를 노출시키고 있다. 그냥 정보를 던져놓은 것이 아니라 피해 조직에 대한 상세한 정보와 함께 폴더 식으로 잘 정돈하여 공개하고 있다. 체크포인트에 따르면 피해 조직들에는 로펌, 게임 회사 등이 포함되어 있다고 한다. 재미있는 건 로펌의 경우 기한을 어기자마자 정보 공개에 나섰고, 게임 회사의 경우 두 번째 기회를 주었다는 차이가 있다는 것이다. 그 이유는 아직 밝혀지지 않았다

또한 돈을 낸 기업들의 경우 데이터를 무사히 복구했는지 아직 확실히 알 수 없다. 체크포인트는 “페이투키 공격자들의 해킹 기술이 상당히 발전되어 있다고 본다”며 “일반 랜섬웨어 공격자들의 수준을 훨씬 상회한다”고 썼다. 또한 “여태껏 발견된 적이 없는 단체일 가능성이 높다”고도 밝혔다. 체크포인트가 이렇게 생각하는 이유는 페이투키가 단 며칠 만에 대형 조직들을 여럿 동시에 공격했고, 1시간 내에 네트워크를 마비시키는 데 성공했기 때문이다.

한편 체크포인트는 피해자들이 돈을 보낸 비트코인 지갑을 추적하기도 했다. 그 결과 이란의 암호화폐 거래소인 엑스코이노(Excoino)에서 거래가 발생한 것을 알아냈다. 엑스코이노는 이란 국민들만 사용이 가능한 거래소인 것으로 알려져 있다. 여기서 거래를 하려면 이란의 주민등록번호를 반드시 기입해야 하기 때문이다.

또한 페이투키가 현재까지 이스라엘 기업들을 집중적으로 공격하고 있다는 것도 이란 해커들이 배후에 있을 가능성을 시사한다. 물론 유럽 조직들 중에서도 피해가 나오고 있어 단언하기는 힘든 부분이다. “이렇게까지 실력이 좋은 조직이고, 공격이 유럽에서도 발견되고 있는 걸 보면, 스스로의 무대를 전 세계로 확장시켜가는 중일 가능성이 높다”고 체크포인트는 해석하고 있다.

3줄 요약
1. 새로운 고급 랜섬웨어, 페이투키 등장.
2. 최신 트렌드에 맞게 이중 협박 전략 차용 중. 협박금은 시세보다 조금 아래.
3. 이란의 해커들이 배후에 있을 가능성 높아 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

KIM 2020.11.16 14:25

어떻게 해결되는건지 궁금하네요..


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)