Home > 전체기사
랜섬웨어와 POS의 조화? 소디노키비, POS도 스캔 시작
  |  입력 : 2020-06-24 17:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
랜섬웨어 공격자들이 POS에 저장된 정보에 관심 보인 건 이번이 처음
목적은 불확실...카드 정보 따로 팔거나, 협박 수위 높이거나 둘 중 하나로 보여


[보안뉴스 문가용 기자] 소디노키비(Sodinokibi) 랜섬웨어 운영자들이 현재 신용카드 정보와 POS 소프트웨어를 노리고 있다는 경고가 나왔다. 공격을 통한 수익성을 극대화하기 위한 새 전략이 등장했다는 것이 전문가들의 의견이다.

[이미지 = utoimage]


POS 소프트웨어는 주로 신용카드 단말기에 설치되는 것으로, 해커들이 신용카드 정보를 훔치기 위해 주로 공략한다. 하지만 랜섬웨어 공격과 POS 공격이 동시에 이뤄진 사례는 없었다. 소디노키비 랜섬웨어 운영자들은 최근 세 개의 대기업들을 공격한 뒤 먼저 POS 시스템으로부터 카드 정보를 훔쳐냈고, 그 다음 랜섬웨어 공격을 실시했다고 한다.

하지만 아직까지 공격자들의 본래 목적이 카드 정보를 훔쳐 추가 수익을 내려고 하려는 것인지, 카드 정보까지 암호화 해서 피해자들에게 가하는 협박을 더 세게 하려는 것인지는 확실치 않다. 소디노키비의 이러한 움직임을 간파해 발표한 보안 업체 시만텍(Symantec)은 “POS 소프트웨어를 스캔했다는 점 외에 나머지는 기존 표적형 랜섬웨어 공격과 다르지 않다”며 “하지만 POS를 스캔했다는 것 자체가 대단히 독특하고 흥미로운 점”이라고 짚었다.

공격자들은 소디노키비 랜섬웨어를 본격적으로 사용하기 전에 코발트 스트라이크(Cobalt Strike)라는 흔한 멀웨어를 사용해 네트워크에 침투했다. 시만텍은 8개 기업에서 이번 캠페인과 연루된 코발트 스트라이크의 흔적을 찾아냈다고 한다. 하지만 이중 소디노키비 랜섬웨어까지 같이 발견된 건 세 군데 뿐이었다. 공격자들이 무언가를 기다리고 있거나 다른 작업을 진행 중인 것으로 보인다.

침투에 성공한 공격자들은 ‘리빙 오프 더 랜드(living-off-the-land)’라는 전략을 사용하기 시작한다. 즉, 시스템 내에 이미 설치가 된 정상 서비스와 소프트웨어 등을 사용해 공격을 하는 것이다. 이번 캠페인의 경우 공격자들은 넷서포트(NetSupport)의 원격 관리자 클라이언트 도구를 활용해 필요한 요소들을 설치했다고 한다. 또한 파워셸 명령어들을 사용해 악성 행위도 실시했다. C&C 서버는 페이스트빈(Pastebin)과 아마존 클라우드프론트(CloudFront)라는 정상 서비스를 통해 구축하기도 했다. 정상 도구들을 사용할 경우 탐지가 극히 어려워진다.

그 후 공격자들은 코발트 스트라이크를 사용해 크리덴셜 탈취를 시도했다. 동시에 자신들이 제어할 수 있는 가짜 계정도 생성했다. 공격 지속성을 확보하기 위해서인 것으로 보인다. 여기까지 작업을 마치면 소디노키비 랜섬웨어가 다운로드 됐다. 이를 사용해 데이터를 암호화 한 후 5만 달러어치의 모네로 암호화폐를 요구했다고 시만텍은 알렸다. 3시간 안에 지불을 하지 않을 경우, 금액은 10만 달러로 올라간다.

소디노키비는 레빌(REvil)이라고도 불리며, 꽤나 굵직한 랜섬웨어 사건을 최근 일으키고 있다. 범죄자들 사이에서 ‘서비스형 랜섬웨어’ 형태로 유통되며, 따라서 다양한 자들이 활용하고 있다. 소디노키비를 대여해 공격한 자들은 수익금을 소디노키비 개발자들과 나눈다. 소디노키비 개발자들은 ‘고객’들의 요구 사항에 맞게 지속적인 업데이트를 진행한다.

이번 캠페인에 당한 기업들은 시만텍이 이름을 직접 밝히지는 않았지만 다국적 규모의 대기업이라고 한다. 협박을 했을 때 돈을 내기가 비교적 쉬운 곳이라 이런 회사들을 선택했을 것이라고 시만텍은 추측한다. “하지만 그게 전부가 아닙니다. 소디노키비 공격자들이 처음으로 POS 소프트웨어를 스캔했거든요. 즉, POS가 설치된 매장을 운영하는 기업들이 이번 공격 대상이 된 것입니다. 협박으로 돈을 못 받아냈을 경우를 대비한 것이 아닐까 합니다. 되팔든 암호화를 하든 말이죠.”

시만텍은 보고서를 통해 “소디노키비라는 위협의 기세가 당분간 꺾일 것 같지 않다”고 경고하기도 했다. “개발자부터 고객들까지, 꽤나 고급스러운 공격을 구사하는 자들입니다. 기술적으로 결코 낮은 수준의 사람들이 아닙니다. 앞으로도 계속해서 피해자가 나올 것으로 보입니다. 특히 대기업이나 유명 기업들을 노리는 사례가 많아질 것으로 예상합니다.”

3줄 요약
1. 악명 높은 소디노키비 랜섬웨어 운영자들, 최근 POS 스캔하기 시작.
2. 왜? 카드 정보까지 암호화 해서 협박 수위 높이든가, 카드 정보 따로 빼내 팔든가.
3. 꽤나 수준 높은 소디노키비 공격자들, 앞으로 대기업들 노릴 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)