Home > 전체기사
랜섬웨어 생태계의 최신 유행 모두 담은 넷워커, 주목해야 할 위협
  |  입력 : 2020-05-21 14:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
레빌 랜섬웨어부터 시작된 ‘파트너 엄선’...새로운 RaaS 사업의 유형
메이즈 랜섬웨어부터 시작된 ‘이중 협박’ 전략...피해자가 돈을 낼 수밖에 없게 해


[보안뉴스 문가용 기자] 최근 호주의 톨(Toll) 그룹을 감염시켰던 넷워커(NetWalker)라는 랜섬웨어가 RaaS 형태로 범죄자들에게 공급되기 시작했다. RaaS는 ‘서비스형 랜섬웨어(ransomware-as-a-service)’를 뜻하는 말로, 간단히 말해 넷워커 개발자들이 넷워커를 다른 범죄자들에게 대여하기 시작했다는 뜻이다. 보통 멀웨어 대여 서비스가 시작되면, 해당 멀웨어가 빠르게 퍼져나간다.

[이미지 = iclickart]


그런데 이들을 파헤친 보안 업체 어드밴스드 인텔리전스(Advanced Intelligence)에 의하면 넷워커 운영자들의 RaaS 사업 방식이 기존 RaaS들과는 조금 다르다고 한다. “여태까지 랜섬웨어 제작과 운영의 기술력을 대여하던 자들은 주로 기술력이 부족한 초보 사이버 범죄자들을 대상으로 사업을 해왔습니다. 하지만 넷워커 운영자들은 이미 대규모 공격 인프라를 가지고 있는 사이버 범죄자들과 주로 교류를 합니다. 즉 대여 사업이라기보다 기술력을 충분히 갖춘 ‘탑티어’ 단체들 간의 파트너십이 일어나고 있다는 겁니다.”

넷워커는 현재 크게 두 가지 방식으로 퍼져가고 있다. 하나는 기존 랜섬웨어와 마찬가지로 피싱이나 스팸 캠페인을 통하는 것이고, 다른 하나는 바로 파트너십을 통해 타 그룹의 공격 인프라를 활용하는 것이다. “넷워커 운영자들은 점점 더 후자로 옮겨가고 있습니다. 다크웹 러시아 포럼에 올라온 광고를 보면 이들은 경험이 많은 고급 네트워크 침투 전문가들과만 파트너십을 맺겠다고 합니다. 보다 안정적이며 장기적인 관계를 선호한다고도 합니다.”

심지어 이들은 파트너십을 위한 신청서도 받고 있는 중이다. 이 신청서를 넷워커 운영자들이 심사해서 파트너들을 선정한다고 한다.

흥미로운 건, 이런 식의 접근법이 사이버 범죄자들 사이에서 유행하기 시작했다는 것이다. 어드밴스드 인텔리전스의 연구 보고서에 의하면 “수준 높은 표준을 설정하고 이를 범죄 산업에 적용하기 시작한 건 레빌(REvil) 랜섬웨어 때부터”라고 한다. “레빌 운영자들이 RaaS 사업을 벌이면서 파트너들을 신중하게 고르기 시작했습니다. 그리고 이게 서서히 다른 단체로도 퍼져가기 시작했습니다.”

넷워커의 또 다른 특징은 피해자가 돈을 내면 확실하게 작동하는 복호화 키를 반드시 보내준다는 것이다. 적어도 이를 전면에 내세우고 있으며, 파트너들에게도 이를 강조한다고 한다. 뿐만 아니라 “레빌의 경우 파트너십을 통해 얻은 수익을 3(레빌):7이나 4:6으로 나눴던 것과 달리 넷워커는 2:8로 나눈다”고 한다. 이 때문에 넷워커와 손을 잡으려는 단체들이 많은 것으로 알려져 있다.

넷워커의 운영자들은 사업적으로도 최신 유행을 따르는 것과 동시에 기술적인 부분에서도 실력을 갈고 닦는 중이다. 넷워커 최신 버전은 “모든 윈도우 2000 이후에 나온 모든 윈도우 계열 OS에서 작동하며, 파일을 암호화 할 뿐만 아니라 네트워크의 맵핑도 실시한다”고 한다. 운영자들이 광고하는 바에 따르면 NAS 장비들도 이 ‘맵핑’에 포함된다고 한다.

멀웨어의 아키텍처도 심상치 않다. 운영자들에 따르면 파일을 암호화 하는 장치는 파워셸 스크립트 내부에 위치해 있다고 하는데, “그렇다는 건 외부 네트워크로 페이로드를 업로드 하지 않아도 된다는 뜻”이 된다. 이 때문에 윈도우 디펜더를 비롯해 각종 백신 제품을 피해갈 확률이 높아진다.

랜섬웨어계에서 최신 유행 중인 ‘이중 협박’ 전략도 적용됐다. 피해자의 시스템에서 암호화를 진행하기 전에 다크웹의 블로그로 정보를 빼내고, 이를 가지고 ‘돈을 내지 않으면 정보를 공개하겠다’고 협박할 수 있다는 것이다. 이중 협박 전략은 메이즈(Maze)라는 랜섬웨어가 유행시킨 것으로, 현재 꽤나 많은 랜섬웨어 운영자들이 이를 차용하고 있는 상황이다.

한 마디로 넷워커 랜섬웨어는, 일종의 산업으로까지 성장하고 있는 ‘랜섬웨어 생태계’의 최신 유행들을 전부 접목한 형태를 갖추고 있다고 볼 수 있다. 그래서인지 피해자들에게 요구하는 금액도 꽤나 높은 편이다. “최소 수십만 달러에서 수백만 달러까지를 요구하고 있습니다. 공격 효과가 높은 모든 것을 다 갖추고 있다는 자신감에서 비롯된 것이겠죠.”

3줄 요약
1. 얼마 전 호주 톨 그룹 공격한 넷워커 랜섬웨어, RaaS 사업 시작.
2. 경험과 능력 출중한 공격 단체들만 신중하게 선정해 파트너십 맺는 사업 모델 채택.
3. 기술과 전략의 측면에서도 최신 유행 갖추는 것 잊지 않음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)