Home > 전체기사
최근 등장한 랜섬웨어들, 인간이 직접 운영하는 최신 트렌드 반영해
  |  입력 : 2020-05-28 13:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
포니파이널, 비트페이머, 류크, 레빌, 사마스 등...자동화 기술 배제한 랜섬웨어
사람이 직접 운영하니 피해자와 1:1 상황 만들 수 있어...협상 주도권은 공격자에게


[보안뉴스 문가용 기자] 마이크로소프트가 포니파이널(PonyFinal)이라는 랜섬웨어의 정보를 공개했다. 포니파이널은 랜섬웨어 운영자가 수동적인 방법으로 공격을 진행하는 것으로 알려져 있다. 이런 류의 랜섬웨어는 자동화 기술을 사용했을 때보다 공격을 광범위하게 할 수는 없지만 피해자에 따라 맞춤형 공격을 할 수 있어 더 높은 금액을 요구하기에 유리하다고 한다. 따라서 랜섬웨어 공격자들 사이에서 인기가 올라가는 중이다.

[이미지 = utoimage]


포니파이널과 비슷한 방식으로 운영되는 랜섬웨어에는 비트페이머(Bitpaymer), 류크(Ryuk), 레빌(REvil), 사마스(Samas) 등이 있다. 이중 포니파이널을 MS가 집중적으로 파헤치기 시작한 건 4월 초부터라고 위협 보호 국장인 필립 미스너(Phillip Misner)는 설명한다. “여러 유명 랜섬웨어들이 있지만, 결국 한 가지 방식으로 운영되는 랜섬웨어의 변종들이라고도 볼 수 있습니다. 크리덴셜을 훔치고 네트워크 내에서 횡적으로 움직임으로써 표적을 좀 더 샅샅이 파악한 후에 가장 알맞은 랜섬웨어를 골라 공격을 실시하는 것이죠.”

포니파이널 공격의 경우 주로 두 가지 방식으로 시작된다. 하나는 공격 대상의 시스템 관리 서버를 브루트포스 공격으로 뚫어내는 건데, 이 경우 공격자들은 VB스크립트를 통해 파워셸 리버스 셸을 실행시킨다. 혹은 원격 조정 시스템을 통해 이벤트 로깅을 피해가기도 한다. 그 외에 패치가 되지 않은 오류들을 익스플로잇 함으로써 접근에 성공하기도 한다.

또한 공격자들은 자바 런타임 환경(JRE)을 실행시키기도 한다. 포니파이널이 자바를 기반으로 하고 있기 때문이다. 하지만 정찰 활동을 통해 JRE가 설치된 엔드포인트들을 찾아 공격하는 흔적도 발견됐다. 미스너는 “정말 조심스러운 행적”이라고 이를 분석한다. “어쩔 수 없을 때는 JRE를 따로 설치하지만, 되도록 이미 설치되어 있는 장비를 노린다는 건 최대한 들키지 않으려는 의도가 있기 때문입니다.”

포니파이널 랜섬웨어는 MSI 파일 형태로 배포되는 것으로 나타났다. 이 안에는 두 개의 배치 파일과 랜섬웨어 페이로드가 포함되어 있다. 암호화 처리가 끝난 파일에는 .enc라는 확장자가 붙고, 피해자들에게 노출되는 협박 편지도 간단한 텍스트 파일로 만들어져 있다고 한다.

“포니파이널의 수동적인 운영 방식에는 또 다른 장점이 있습니다. 바로 피해자 네트워크에 계속 숨어 있다가, 효과가 클 수밖에 없는 시기에 공격을 실시할 수 있다는 것입니다. 대단히 중요한 데이터가 인프라 내에 유입되었을 때라든가, 비싼 장비가 추가되었을 때, 혹은 가장 바쁜 시간대 등을 노리는 것이죠. 어떤 경우 수개월이나 잠복해 있기도 합니다.” 미스너의 설명이다.

포니파이널 운영자들은 이전부터 활동해 온 사이버 범죄자들이라고 MS는 설명한다. “사람은 예전부터 활동해왔지만, 포니파이널은 비교적 새로운 페이로드입니다. 범인들은 운영 방법은 그대로 고수하면서 계속해서 새로운 페이로드를 제작해내는 것 같습니다. 그리고 이런 조심스럽고 은밀하며, 맞춤형으로 진행되는 랜섬웨어 운영 방식은 현재 다른 공격자들 사이에서도 퍼져가고 있는 중입니다.”

그러면서 미스너는 “운영자들의 이러한 전략 실행 능력과 페이로드 제작 능력을 보건데, 고급 기술을 갖춘 자들일 가능성이 높다”고 말한다. “사실 수동으로 운용되는 모든 랜섬웨어 캠페인들의 배후에는 어느 정도 수준의 실력을 갖춘 자들이 존재합니다. 맞춤형 공격이라는 게 아무나 할 수 없는 것이기도 하고요. 실제적인 소득 없이 오랜 시간 기다릴 수 있다는 것 역시 풍부한 자원을 의미합니다. 심지어 공격 성공률이 높으니까 쓸 수 있는 전략이라고도 보입니다.”

마이크로소프트는 이렇게 사람이 수동적으로 운영하는 랜섬웨어 공격을 ‘인간 운영형 랜섬웨어(human-operated ransomware)’라고 부른다. 미스너는 “자동화 랜섬웨어 공격과는 전혀 다른 종류의 위협으로 간주해야 한다”고 설명한다. “일반적인 랜섬웨어들의 배후에는 봇이 있습니다. 봇의 배후에 사람이 있죠. 그런 경우 피해가 발생한다고 해서 공격자가 곧바로 그 사실을 인지하지 않습니다. 최초에 배포한 랜섬웨어가 인터넷 어디를 돌아다니고 있는지 추적하지도 않습니다. 그래서 공격자가 이미 폐기처분한 랜섬웨어가 한참 뒤에 피해자를 만들기도 하죠.”

그러나 봇은 없고 공격자, 즉 사람만 랜섬웨어 배후에 있는 경우 “피해자는 공격자와 1:1 상황에 놓인다”고 미스너는 설명한다. 공격자는 피해자가 발생하는 걸 즉각 인지하고, 그 피해 상황을 처음부터 제어할 수 있습니다. 모든 공격에서 주도권을 쥐게 된다는 것이고, 협상에 필요한 열쇠를 공격자가 다 가져간다는 뜻입니다. 자동화 봇으로 공격한 경우 공격자도 상황 파악을 다 못해서 우왕좌왕 할 때가 있지만, 포니파이널과 같은 랜섬웨어에는 그런 일이 없습니다.“

미스너는 “앞으로 이런 공격이 유행할 것”이라고 예상한다. 그러면서 “인터넷에 연결된 디지털 자산들을 강력하게 보호하고, 늘 최신 버전을 유지해야 한다”고 권고한다. “각종 설정 사항들과 환경 내 비정상적인 활동들을 늘 모니터링 하는 것도 잊지 말아야 합니다. 권한 허용도 최소화 하는 게 좋습니다.”

3줄 요약
1. 최근 등장한 포니파이널 랜섬웨어, 인간이 직접 운영하는 최신 랜섬웨어 중 하나.
2. 공격자가 배후에서 수동으로 랜섬웨어 조정할 때 맞춤형 공격 가능하고 협상 주도권 쥐기에 용이함.
3. 최근 랜섬웨어 공격자들, 이런 식의 운영을 즐겨하기 시작함. 앞으로 더 늘어날 것.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)