보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

트리고나 랜섬웨어, 고급기술 썼으니 돈 더 내놔!

입력 : 2023-11-28 09:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
취약한 서버 타깃, 고급 암호화 기술과 은밀한 침투로 높은 몸값 요구
RDP 취약점 악용, 피싱, 무차별 대입 공격, 다양한 취약점 이용해 공격
다양한 감염 방법과 공격 벡터 사용, 이중 갈취 접근 방식, 자세한 몸값 메모
MFA, 정기 SW 패치, 이메일 보안, 액세스 제어, 세그멘테이션, 에어 갭 백업 보안 강화해야


[보안뉴스 김경애 기자] 고급 암호화 기술과 은밀한 침투로 정평이 난 ‘트리고나 랜섬웨어’가 기승을 부리고 있다. 특히, 취약한 서버를 대상으로 집중공격하고 있어 이용자들의 각별한 주의가 필요하다.

[이미지 = gettyimagesbank]


트리고나 랜섬웨어(Trigona Ransomware)는 피해자의 데이터를 암호화하고 암호 해독 키를 대가로 높은 몸값을 요구하도록 설계된 정교한 랜섬웨어 변종이다. 2022년 말에 처음 포착됐으며, 공격대상은 엔지니어링 기업, 제조 기업, 의료 서비스 제공업체 및 지방정부 등 다양하다. 주로 취약한 서버를 중점적으로 공격해 높은 몸값을 요구하고 있다.

정상 프로세스와 혼합 공격 전술로 보안 솔루션 탐지 회피
공격자들의 공격 방식은 △RDP 취약점 악용 △피싱 △무차별 대입 공격 △다양한 취약점 악용 등 다양한 감염 방법과 공격 벡터를 사용해 피해를 증가시키고 있다.

주로 RDP 취약점을 이용해 RDP·SQL을 실행하고, 중요한 파일의 동적 RSA 암호화 등 강력한 파일 암호화 기술로 암호화한다.

또 다른 공격 방법은 사기성 이메일 캠페인이다. 이는 트리고나 랜섬웨어의 공격 벡터 중 가장 인기 있는 방법이다. 이메일은 순진한 수신자를 속여 악성 첨부 파일이나 링크를 통해 랜섬웨어를 다운로드하고 실행하도록 설계됐다.

트리고나 랜섬웨어 운영자는 RDP 및 SQL 서버에 대한 취약하거나 기본 자격 증명을 타깃으로 무차별 암호 대입 공격을 감행한다. 이 기술은 시스템에 대한 무단 액세스를 제공하여 랜섬웨어 배포를 용이하게 한다.

이외에도 인터넷 연결 서비스 및 애플리케이션, 특히 웹 앱의 다양한 취약점을 악용하여 네트워크에 침투한다. 이들의 공격수법은 이중 갈취 접근 방식, 자세한 몸값 메모, 정상적인 프로세스와 혼합해 공격하는 스텔스 전술 등을 사용해 보안 솔루션의 탐지를 어렵게 만드는 등 은밀한 공격 작업으로 유명하다.

트리고나 랜섬웨어, 평균 몸값 22만 달러
코브웨어의 2022년 4분기 랜섬웨어 보고서에 따르면 트리고나 랜섬웨어 공격의 평균 몸값은 2022년 3분기 15만 달러에서 2022년 4분기 22만 달러로 증가했다.

트리고나 랜섬웨어 사건에 연루된 회사는 피해자의 규모에 따라 차등된 몸값을 요구받았는데, 최소 5만 달러에서 10만 달러 이상이다. 공개적으로 보고된 몸값 지불 액수는 엔지니어링 기업 15만 달러, 제조 기업 75만 달러, 의료 분야 기업 200만 달러로 알려져 있다.

FBI는 총 랜섬웨어 비용(다운타임, 복구, 수익 손실 등)을 실제 몸값의 3~4배로 추정했다. 이는 트리고나 피해자당 총 손실액이 150만 달러에서 수백만 달러에 이를 수 있음을 시사한다.

스톤플라이는 트리고나 랜섬웨어 공격에 대해 “상당한 재정적 비용과 몸값 지불을 초래하고 있다. 이는 시간이 지남에 따라 평균 지불액이 증가하고 있다”며 “트리고나 랜섬웨어에 감염되면 조직의 시스템이 운영 중단 및 다운될 수 있으며, 민감한 개인정보는 물론 회사 중요 정보를 유출할 수 있다. 기업의 잠재적인 법적 책임과 평판 손상으로 이어질 수 있는 만큼 침해 예방 및 대응이 중요하다”고 강조했다.

트리고나 랜섬웨어, 피해 예방 및 대응방법
스톤플라이는 트리고나 랜섬웨어로부터 피해를 예방하고 대응하기 위해 △MFA △정기 소프트웨어 패치 △이메일 보안 △액세스 제어 △네트워크 세그멘테이션 △정기 백업 △에어 갭 백업 및 강력한 엔드포인트 보호를 제시했다.

스톤플라이는 “사용자 계정에 대해 MFA 등을 통해 인증을 강화하고, 랜섬웨어로부터 데이터 보호를 위해 에어 갭 및 변경 불가능한 백업을 해야 한다”며 “특히, 볼륨을 삭제하지 못하도록 변경할 수 없는 스냅샷을 사용해 안전한 데이터 상태로 롤백하고, 랜섬웨어 방지 스캐너를 사용하여 랜섬웨어 공격을 탐지하고 방지해야 한다”고 강조했다.

제로트러스트 측면에서는 엄격한 액세스 제어와 지속적인 모니터링 및 모니터링 강화, 네트워크 세그멘테이션을 통한 네트워크 내에서의 랜섬웨어의 수평 이동 제한, 엔드포인트 보안 솔루션을 통한 실시간 위협 탐지, 안티바이러스 보호 및 행동 분석을 당부했다. 또한, 효과적으로 정의된 인시던트 대응 계획 및 대응팀, 커뮤니케이션 전략, 데이터 복구 전략 및 법률 준수 가이드를 주문했다.

스톤플라이는 “트리고나 랜섬웨어는 끊임없이 진화하는 사이버 위협 환경에서 강력한 적”이라며 “복잡한 특성과 진화하는 전술로 인해 조직은 사전예방적으로 방어하는 것이 중요하다. 강력한 보안조치를 구현하고, 안전한 백업 유지, 제로트러스트 보안과 같은 고급 방어 전략 채택으로 기업은 보안 위협에 대한 복원력을 강화해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대