Home > 전체기사

FBI, 새로운 랜섬웨어 그룹 원퍼센트에 대한 경고 발표해

  |  입력 : 2021-08-25 15:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
FBI가 원퍼센트라는 랜섬웨어 공격 단체에 대한 경고를 발표했다. 이름만 빼면 특별할 것이 없는 단체라 ‘왜, 굳이, 지금?’이라는 의문이 들긴 하지만 아무튼 주의해야 할 위협이 하나 더 생겼다는 건 분명하다.

[보안뉴스 문가용 기자] 원퍼센트(OnePercent)라는 이름의 랜섬웨어 운영 단체가 북미 지역을 중심으로 활동력을 왕성하게 늘려가고 있다는 경고가 FBI로부터 나왔다. FBI의 경고에 의하면 원퍼센트는 악성 집 파일이 첨부된 피싱 이메일을 통해 최초 침투를 한다고 한다. 피해자가 이를 받아 압축을 해제하면 악성 매크로가 심긴 워드 및 엑셀 문서가 나타나 발동되며, 그 결과 시스템에 아이스드아이디(IcedID)라는 뱅킹 트로이목마가 설치된다. 아이스드아이디는 코발트 스트라이크(Cobalt Strike) 등 추가 페이로드를 다운로드 받는다. 그러면서 본격적인 공격이 시작된다는 게 FBI의 설명이다.

[이미지 = utoimage]


‘본격적인 공격’이란 최근 랜섬웨어 공격자들 사이에서 유행하는 것 그대로 ‘파일 유출’과 ‘파일 암호화’를 말한다. 현재까지 밝혀진 바 원퍼센트는 AWS S3 스토리지 버킷, 파워셸, 코발트 스트라이크, 미미캐츠(Mimikatz), 샤프스플로잇(SharpSploit), 샤프캐츠(SharpKatz)와 같은 도구들을 활용하고 있다. 대부분 정상적 보안 연구를 위해 만들어진 도구들이지만 해커들이 더 잘 사용하게 된, 그래서 멀웨어라고 명확히 구분하기 힘든 것들이다.

원퍼센트 피해자들에게 공격 사실을 알리는 메모를 시스템에 남기는데, 이 메모에는 “데이터가 암호화 되기도 했고 공격자의 손에 넘어가기도 했다”는 내용과, 어떻게 범인들에게 연락해야 하는지 알려주는 안내가 포함되어 있다. 공격자들은 토르에 채널을 운영하고 있으며, 피해자가 안내대로 공격자의 사이트에 접속하면 금액 협상에 들어간다. 1주일 넘게 피해자가 아무런 연락을 하지 않으면 피해자에게 전화를 건다. 이 때 “랜섬웨어 협상 담당자를 바꾸라”고 요구한다고 한다. 만약 전화를 걸었는데도 피해자가 별 다른 반응을 보이지 않으면 “데이터를 모조리 공개하겠다”는 내용의 이메일을 보낸다.

이래도 답을 보내지 않으면 공격자는 드디어 정보의 일부를 공개하기 시작한다. 이 일부가 1% 정도 된다고 하며, 그래서 이들은 스스로를 원퍼센트 그룹이라고 부른다. 그래도 피해자가 요지부동이면 원퍼센트 운영자들은 유명 랜섬웨어 그룹인 소디노키비(Sodinokibi - 레빌이라고도 알려져 있음)의 이름을 대기 시작한다. 이들에게 당신의 정보를 팔겠다는 것이다. 그러면서 소디노키비는 데이터를 가지고 경매를 진행하기 때문에 잘 생각해야 할 것이라고 경고한다. FBI는 이런 점진적 협박이 피해자의 심리를 흔든다는 측면에서 효과적일 수 있다고 설명한다.

현재 랜섬웨어 산업은 정선기를 구가하고 있다. 그렇기 때문에 원퍼센트와 같은 신흥 세력들이 끝도 없이 등장하는 중이다. 단순히 중흥기를 맞이해서 그런 게 아니라, ‘서비스형 랜섬웨어(RaaS)’라는 것이 등장하면서 누구나 랜섬웨어 공격을 할 수 있게 되었다는 점이 크게 작용한 것으로 분석된다. 다크사이드(DarkSide), 레빌(REvil), 록빗(LockBit), 넷워커Netwalker) 등 종류도 다양하다. 돈만 조금 투자하면 누구나 랜섬웨어 사업을 벌일 수 있는 것이다.

보안 업체 디지털 셰도우즈(Digital Shadows)의 위협 분석가인 알렉 알바라도(Alec Alvarado)는 “FBI가 지금 시점에 신생 랜섬웨어 그룹에 대한 경고를 발표한 것이 쉽게 이해가지 않는다”는 입장이다. “물론 랜섬웨어 공격 그룹에 대해 알리는 것 자체야 틀리지 않습니다. 하지만 이렇게 긴급하게 원퍼센트라는 그룹만을 꼭 집어서 알린다는 것, 그것도 그리 특별할 것도 없는 단체에 대해 경고한 건 왜일까요?”

이에 대해 두 가지 가능성이 존재하는 것으로 알바라도는 추측한다. “하나는 앞으로 원퍼센트의 위협이 크게 증가할 거라는 근거를 FBI가 확보했을 수도 있다는 겁니다. 우리가 모르는 뭔가가 있을 수 있다는 뜻이죠. 다른 하나는 민간 부문에서 원퍼센트에 대한 경고가 거의 나오지 않은 상황이기 때문에 FBI가 나선 것일 수 있습니다. 원퍼센트는 확실히 언급이 안 되는 공격 단체이긴 합니다.”

3줄 요약
1. 1%라는 이름 달고 나온 또 다른 랜섬웨어 신진 세력, FBI가 경고.
2. 피해자에게 여러 단계로 연락하는데, 이중에는 직접 전화하는 것도 포함되어 있음.
3. 지금은 무명에 가까운 그룹이지만, 언젠가 크게 자랄 수도.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)