Home > 전체기사

랜섬웨어 공격자들, 이제 피해 기업의 고객들과 직접 이야기 한다

  |  입력 : 2021-04-06 17:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
랜섬웨어 공격자들의 협박 수위가 높아졌다. 이제는 고객과 파트너사에 직접 메일을 보내거나 전화를 걸어 ‘그 회사가 정보 보호를 제대로 못해 당신 정보가 나한테 있다’고 알리며 ‘그 회사한테 얼른 돈 내라고 하라’고 종용한다.

[보안뉴스 문가용 기자] 랜섬웨어 공격자들 중 일부가 새로운 ‘압박 전략’을 가지고 활동을 시작했다고 보안 전문 블로거인 브라이언 크렙스(Brian Krebs)가 공개했다. 바로 피해 조직의 고객들에게 이메일을 보내는 것이다. 중요한 파일을 암호화하는 1세대를 지나, 온라인에 주요 파일을 공개하는 2세대를 넘어, 피해자 조직의 고객들이나 파트너사에 직접 이메일을 보내는 3세대가 도래한 것일지도 모른다.

[이미지 = utoimage]


크렙스의 블로그에 공개된 샘플 협박 편지의 내용은 다음과 같다.
“지금 당신이 이 이메일을 받았다는 건 A사의 고객이거나 구매자거나 파트너사이거나 직원이라는 뜻입니다. A사는 해킹을 당했으며, 우리는 A사가 대응을 하지 않을 경우를 대비해 여러 정보를 훔쳤습니다. 여기에는 당신에 관한 정보도 포함되어 있습니다. 만약 A사가 우리의 요구를 무시한다면 다음 주소를 통해 당신의 민감 정보를 유출할 계획입니다. 지금 목소리를 내서 A사가 당신의 정보를 보호하도록 하세요!”

이 메시지는 실제 레이스트랙 페트롤리움(RaceTrac Petroleum)이라는 기업의 고객과 파트너사들에게 발송된 메일이었다. 이런 식으로 메일이 발송될 경우, “공격자가 고객 정보(파트너 정보)를 실제로 보유하고 있다는 것이 입증”되기도 하니 효과가 매우 극적일 수 있다고 크렙스는 설명한다. 이런 식으로 레이스트랙을 압박한 건 유명 랜섬웨어 공격자인 클롭(Clop)이었고, 이들은 최근 공급망 공격에 악용된 액셀리온(Accellion)의 오래된 소프트웨어를 익스플로잇 한 것으로 분석됐다.

한국에서는 잠잠한 편인데, 액셀리온 사태도 솔라윈즈(Solarwinds) 사태만큼이나 해외에서는 높은 파급력을 보이는 중이다. 엑셀리온은 유명 FTA 소프트웨어를 개발해 다양한 조직들로 공급하는 소프트웨어 회사로, 최근 공격자들은 여기서 발견된 제로데이 취약점을 통해 석유 회사인 셸(Shell)과 보안 업체 퀄리스(Qualys) 등을 침해하는 데 성공했다. 레이스트랙 측은 “회사 전체가 액셀리온의 소프트웨어를 사용한 건 아니었다”며 “이번 사건으로 기업 전체가 영향을 받은 건 아니”라고 주장했다.

클롭 랜섬웨어 공격자들은 미국 캘리포니아대학에서도 비슷한 공격 전술을 펼쳤다. 대학 측과 관계가 있는 사람과 단체들에게도 “당신의 데이터가 우리 손에 있고, 대학이 돈을 내지 않을 경우 공개하겠다”고 협박하는 메일을 보낸 것이다. 캘리포니아대학도 오래된 액셀리온의 소프트웨어를 통해 클롭에 감염된 것으로 알려져 있다.

크렙스는 “돈을 최대한으로 뜯어내기 위한 심리전이 다양화 되고 있다”며 “심리적 압박이 심하겠지만, 여기에 밀려 돈을 범인들에게 내봤자 소용이 없는 경우가 많다”고 강조했다. 왜냐면 “파일 복호화가 100% 된다는 보장이 없고, 협박용으로 유출된 정보는 거의 대부분 지불 여부와 상관이 없이 공개되기 때문”이다. 공격자들의 주요한 목적이 ‘돈’이라면, 애써 모은 정보를 그냥 삭제하고 만다는 것은 상상하기 힘든 일이다. 오히려 다크웹을 통해 판매하는 것이 자연스럽다.

클롭 운영자들만이 아니라 레빌(REvil)이라는 랜섬웨어 운영자들도 비슷한 전략을 사용한다고 블리핑컴퓨터(Bleeping Computer)가 보도하기도 했었다. 이에 의하면 공격자들은 피해 조직에 디도스 공격을 해서 뭔가 잘못됐다는 것을 누구나 알게 하거나, VOIP를 통한 고객들과의 직접 통화를 시도하기도 했었다고 한다.

3줄 요약
1. 협박 수위 높이려는 랜섬웨어 공격자들, 급기야 고객들에게 손 뻗침.
2. 클롭은 협박 편지를 보내고, 레빌은 협박 통화를 시도하고 있음.
3. 하지만 한 번 유출된 정보가 돈을 내든 말든 무사히 삭제될 가능성은 대단히 낮음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)