Home > 전체기사

랜섬웨어 풀고 싶으면 450억! 클롭 랜섬웨어 조직, 유통 기업 협박 정황 발견

  |  입력 : 2020-11-24 18:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
다크웹에 채팅 페이지 개설하고 피해 기업과 협상... 추가 유출한 자료로 이중 협박
공격 시 협상 조건 남기는 ‘랜섬노트’에 ‘Hello Dear K Mall’이라며 상대방을 특정한 것이 특이점


[보안뉴스 이상우 기자] 최근 유통관련 기업에 랜섬웨어 공격이 발생해 기업 보안 담당자의 촉각이 곤두선 가운데, 다크웹에서 랜섬웨어 공격조직과 피해자로 추정되는 인물 사이에 주고받은 대화가 발견됐다. 공격자는 랜섬웨어 공격과 동시에 정보를 유출해 협상에 이용한 것으로 보인다. S2W LAB이 발표한 클롭 랜섬웨어 분석 보고서에 따르면 클롭이 데이터를 유출한 기업은 17개며, 유출된 데이터에는 주요 임직원 계정 정보는 물론, 회계 관련 정보 등이 포함돼 있다. 또한, 데이터를 암호화한 뒤 협상 조건을 남기는 문서 파일(일명 랜섬노트)에는 협상 진행을 위한 다크웹 채팅 페이지 링크 등을 포함하고 있다.

▲최근 발생한 랜섬웨어 공격에서 발견된 랜섬노트[자료=보안뉴스]


주목할 만한 점은 최근 발생한 공격에서 등장한 랜섬노트는 ‘Hello Dear K Mall’이라는 문장으로 시작한다는 것이다. 여기서 ‘K Mall’은 국내 쇼핑몰로 추정할 수 있다. 과거 발견된 랜섬노트의 경우 ‘당신의 네트워크가 뚫렸습니다’처럼 불특정 다수를 대상으로 하는 메시지가 포함돼 있었다면, 이번 공격에서 발견된 랜섬노트에는 특정 대상을 향한 메시지가 포함돼 있는 것이 특징이다.

공격자가 안내한 다크웹 페이지에 Tor 등의 브라우저를 이용해 접근할 경우 상대방과 실시간으로 대화할 수 있는 창이 나타난다. 또한, 채팅과 함께 복호화 데모, 클롭 랜섬웨어에 대한 소개, 비트코인 구매 방법을 안내하는 등 기업 형태로 운영되고 있다.

공격조직과 피해자 사이의 대화 내용을 보면, 피해자에게 협상 비용으로 비트코인으로 4,000만 달러(약 445억 원)를 요구했으며, 이를 지불하면 유출한 카드정보 약 200만 건을 삭제하고, 암호화한 파일 역시 복구하겠다고 제안했다. 만약 제안에 응하지 않으면 카드정보를 유포해 해당 기업이 벌금을 물도록 하겠다고 협박하는 모습도 보였다.

▲다크웹 페이지에 개설한 채팅 기능으로 피해자와 협상을 시도하는 모습[자료=보안뉴스]


피해자는 협상 비용으로 400만 달러를 제안했으나, 공격자는 다시 3,600만 달러를 제안하며 아무에게도 해준 적 없지만 특별히 10%를 깎아주겠다며 너스레를 떨기도 했다. 또한, 피해자에게는 블랙 프라이데이, 크리스마스, 신년 등 기간에 돈을 다시 벌 수 있다고 언급한 것으로 보아 피해자는 유통과 관련한 기업으로 보인다.

▲다크웹 페이지에 개설한 채팅 기능으로 피해자와 협상을 시도하는 모습[자료=보안뉴스]


클롭은 지난해 초, 기업 AD서버를 주요 목표로 공격을 진행하며 국내에 알려졌다. 인터넷은 물론, 인트라넷에 연결된 윈도우 기반 백업 서버까지 공격해 복구가 불가능하도록 손상시킨다. 공격 방식은 주로 이메일을을 통한 악성 파일 설치, 원격 데스크톱 취약점, VPN 취약점 등을 이용하고 있으며, 특히 한 보안 전문가는 ‘윈도우 제로 로그온’ 취약점(CVE-2020-1472)을 보완하지 않은 기업이라면 내부 네트워크를 통해 랜섬웨어가 중앙 서버까지 전파됐을 가능성이 크다고 설명했다.

이스트시큐리티 시큐리티대응센터 문종현 센터장은 “최근 랜섬웨어 공격 양상은 불특정 다수를 노리던 과거와 달리, 특정 기업을 노린 APT와 함께 이뤄지고 있으며, 공격 과정에서 내부 정보를 함께 빼돌려 유출하겠다고 이중으로 협박하며, 클롭 랜섬웨어 조직의 경우 실제로 협상이 결렬되면 다크웹에서 자체 운영중인 서버를 통해 기업 자료를 유포하고 있다”고 말했다.

한편 국내에서도 지난 일요일, 이랜드그룹이 랜섬웨어 공격을 당해 계열사 중 하나인 이랜드리테일 산하 매장(NC백화점, 뉴코아아울렛, 킴스클럽 등)이 영업을 중단하는 등 피해를 입었다. 이랜드는 이번 침해사고에 대응하기 위해 태스크포스팀을 구성하고 사태 해결에 나섰으며, 고객 정보는 암호화 상태로 보관했기 때문에 안전하다고 밝혔다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화