Home > 전체기사
더 악랄해지는 메이즈 랜섬웨어, 범죄자들의 유행 선도하고 있어
  |  입력 : 2020-05-07 11:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
메이즈 랜섬웨어 운영자들, ‘망신주기 사이트’ 통해 피해자가 돈 낼 수밖에 없게 해
최근에는 고객에 직접 협박 가해 피해 회사가 범죄자의 요구에 응하게 만들기도


[보안뉴스 문가용 기자] 메이즈(Maze) 랜섬웨어에 대한 새로운 소식이 보안 컨설팅 업체 크롤(Kroll)로부터 나왔다. 방어를 까다롭게 만드는 메이즈 운영자들의 전략에 대한 내용들이다. 크롤의 보안 전문가들이 메이즈 랜섬웨어 운영자들과 직접 이야기를 나눔으로써 얻어낸 정보와, 메이즈가 운영하는 웹사이트의 FAQ(자주 묻는 질문들) 란의 내용을 취합한 것이라고 한다.

[이미지 = iclickart]


크롤의 사이버 위험 부문 부회장인 로리 이아코노(Laurie Iacono)는 “2019년 말부터 메이즈를 진지하게 들여다보기 시작했다”며 “당시 메이즈 운영자들이 돈을 내지 않는 피해자들의 정보를 공개하는, ‘망신주기 웹사이트’를 개설했었다”고 설명한다. “2020년 1월경부터, 운영자들은 이 망신주기 웹사이트에 엄청난 투자를 하기 시작했습니다. 돈을 뽑아내는 창구로서 인지하기 시작한 것이죠. 이런 사이트를 처음 발명한 것도 메이즈 운영자들이고요.”

아이코노에 따르면 메이즈 운영자들은 2020년에 들어서면서 이 웹사이트를 자주 업데이트 했다고 한다. 내용만이 아니라 인터페이스 등도 자주 바뀌면서 점점 사용이 편리해졌다. “메이즈 운영자들을 이 사이트를 통해 새로운 피해자에 대한 소식도 공유하고 새로운 소통을 자기들끼리 이어가는 등 일종의 협업 채널로서 사용하기 시작했습니다. 랜섬웨어 세계에서는 꽤나 새로운 시도입니다.”

메이즈 랜섬웨어 운영자들은 지난 3월 코로나 바이러스 사태가 심각해지니 의료 기관들은 공격하지 않겠다고 발표한 바 있다. 이에 다른 랜섬웨어 공격 단체들도 비슷한 내용을 발표했다. 하지만 이 발표가 있을 즈음 영국의 의료 기관 중 하나가 메이즈 랜섬웨어에 걸렸고, 메이즈 공격자들은 이들에게 돈을 내라고 협박하기도 했다. 메이즈 운영자들이 약속을 지킬 수 있을 것인가, 의문이 드는 지점이다.

게다가 메이즈의 ‘망신주기 웹사이트’는 다른 랜섬웨어 공격자들에게 좋은 ‘영감’을 제공하기도 했다. 이아코노에 따르면 소디노키비(Sodinokibi)와 도플페이머(DoppelPaymer) 랜섬웨어 운영자들도 비슷한 사이트를 운영하기 시작한 것이다. 물론 아직 메이즈처럼 이러한 사이트를 적극 활용하거나 자주 업데이트 하는 건 아니지만, 같은 수순을 밟고 있다는 점에서 심각하게 받아들여야 할 현상이라고 이아코노는 강조한다. “이 사이트의 첫 번째 존재 가치는 피해자로부터 돈을 더 빠르고 확실하게 뜯어내는 것입니다. 이걸 랜섬웨어 세계에 퍼트린 게 메이즈라는 겁니다.”

크롤은 “이러한 새 돈 뜯어내기 전략으로부터 무사할 산업은 없다”고 경고했다. “메이즈 운영자들은 이 사이트를 통해 협업 체계를 착실하게 굳혀가고 있습니다. 그러면서 피해자가 돈을 낼 수밖에 없는 상황을 보다 효율적으로 만들어내죠. 예컨대 피해자의 데이터 중 어떤 것을 볼모로 잡아야 확실하게 목을 죄이게 되는지 보다 정확하게 판단할 수 있는 겁니다.”

게다가 이런 협박이 통하지 않을 때를 대비해 메이즈는 새로운 전략을 구사하기 시작했다. 바로 피해자 조직의 소비자나 고객들에게 접근하는 것이다. “예를 들어 한 의료 기관은 최근 메이즈 랜섬웨어 공격을 받았는데, 돈을 내지 않자 메이즈 공격자들이 환자들에게 협박 메일을 보냈어요. 개인 의료 정보를 공개하겠다고 말이죠. 기관 측에 어마어마한 압박이 될 수밖에 없었습니다.”

또한 메이즈 운영자들은 시스템 침해를 목적으로 온갖 수단을 다 동원한다고 이아코노는 경고한다. “보통은 펄스VPN(Pulse VPN)에서 발견된 CVE-2019-11510을 익스플로잇 해서 침투하려는 경향을 보이기도 합니다. 표적을 직접 타격하기도 하지만, 서드파티를 우회해서 감염시키는 경우도 많습니다. 침투한 후에는 100GB에서 1TB의 데이터를 다운로드 받고 협박을 시작합니다. 특히 크리덴셜과 고객 정보를 중점적으로 받아 피해 조직이 돈을 낼 수밖에 없도록 만듭니다.”

심지어 메이즈 공격에는 정상적인 관리 및 운영 도구들이 악용되는 사례가 많기 때문에 탐지가 어렵기도 하다. “이들은 한 번 침투 후 횡적 움직임을 위해 미미캐츠(Mimikatz)와 어드밴스드 IP 스캐너(Advanced IP Scanner)와 같은 도구들을 사용합니다. 이 때문에 이들의 수상한 행위가 제대로 발견되지 않습니다.”

크롤의 위기 관리 국장인 케이스 워지시에젝(Keith Wojcieszek)은 “메이즈 배후의 운영자들은 흔한 좀도둑이 아니”라고 강조한다. “이들이 사용하는 전략과 발전 방향을 보면, 상당한 교육을 받고 고급 기술을 보유한 자라는 것이 충분히 짐작됩니다. 따라서 이들을 탐지하고, 예방하며, 심지어 감염 후 이들의 협박에 대응한다는 건 쉽지 않습니다. 다만 이들이 소프트웨어 취약점을 익스플로잇 하려는 경향을 보인다는 점에서, 평소 패치 관리를 잘 하는 것이 지금은 최선책이라는 결론이 나옵니다.”

뿐만 아니라 감염 후 이들의 협박 시나리오에 놀아나지 않으려면, 메이즈를 대비한 사건 대응 체계를 미리부터 갖춰놓는 것이 중요하다고도 워지시에젝은 충고한다. “메이즈는 지금 매우 독특한 랜섬웨어입니다. 게다가 이 독특한 전략이 랜섬웨어 세계에서 편만하게 퍼지고 있고요. 따라서 앞으로 있을 랜섬웨어 공격이 대부분 메이즈와 비슷한 형태로 이어질 것이라고 예상하고 미리 대응 전략을 갖추는 것이 좋습니다.”

3줄 요약
1. 메이즈 랜섬웨어, 랜섬웨어계의 혁신을 선도하는 그룹.
2. 처음에는 ‘망신주기 사이트’를 개설해 유행시키더니, 이제는 고객 직접 협박이라는 카드까지 들고 나타남.
3. 다른 랜섬웨어 운영자들, 메이즈의 선례 따라가려는 움직임 보이고 있음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)