보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

새로운 랜섬웨어 갱단 프로메테우스, 레빌 랜섬웨어의 친분 자랑

  |  입력 : 2021-06-11 15:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
새로운 랜섬웨어 단체가 모습을 드러냈다. 이들은 레빌과 잘 알고 있는 단체라고 자랑하며 시장에서 경쟁하고 있다. 벌써 30개 넘는 조직들이 이들에게 당했고, 이미 4개 조직이 돈을 낸 상태다. 안정화 되어가고 있는 랜섬웨어 산업에서 흔히 나타나는 일이다.

[보안뉴스 문가용 기자] 새로운 랜섬웨어 그룹이 나타나 벌써 30여개 조직에 피해를 준 것으로 집계됐다. 이 그룹의 이름은 프로메테우스(Prometheus)라고 하며 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 추적 중에 있다. 이들은 현재 유행 중인 ‘이중 협박’ 전략을 사용하기 때문에 정보 유출용 웹사이트도 따로 마련해 돈을 내지 않기로 한 조직의 정보를 공개하고 있다.

[이미지 = utoimage]


팔로알토 측에 의하면 프로메테우스는 약 30개 조직을 침해했다고 주장 중에 있으며, 모네로료 6천~10만 달러 사이의 돈을 요구한다고 한다. 현재 랜섬웨어 공격의 시세에 비하면 꽤 낮은 편이다. 다만 피해자가 1주일 사이에 응답하지 않을 경우 금액은 2개가 된다. 현재까지 미국, 영국, 브라질, 노르웨이, 프랑스, 페루, 멕시코에서 피해가 발생했으며, 4개 조직이 이들에게 돈을 낸 것으로 보인다.

팔로알토의 위협 분석가인 도엘 산토스(Doel Santos)는 “프로메테우스가 표적형 공격을 실시한다고 보기는 힘들다”고 말한다. “아직까지는 무작위로 공격하는 것으로 보입니다. 이들이 공개한 피해자들 사이에서 그 어떤 연관성도 찾을 수가 없습니다. 그저 공격이 통하는 곳은 아무나 공격하는 중인 것 같습니다.”

프로메테우스는 악명 높은 랜섬웨어 공격 집단인 레빌(REvil)과 친분이 있다고 스스로를 홍보하고 있기도 하다. 하지만 이를 뒷받침할 만한 근거는 없다. 랜섬웨어 시장의 경쟁이 치열하니 스스로를 돋보이려고 하는 것에 더 가까워 보인다. “이들이 사용하는 랜섬웨어 페이로드는 레빌보다는 타노스(Thanos)의 변종으로 보입니다. 타노스 역시 지난 수개월 동안 다크웹에서 판매됐던 랜섬웨어 중 하나입니다. 아직까지 이 랜섬웨어를 어떻게 피해자의 시스템에 업로드하는지는 아직 밝혀지지 않았습니다만, 다른 상인들에게서 접근 권한을 구매하는 것으로 여겨집니다.”

프로메테우스는 피해자들을 ‘고객’이라고 부르고 고객 관리 서비스를 통해 소통한다. 친절히 안내를 하지만 돈을 내지 않았을 때의 상황을 고지하며 협박하기도 한다. “요즘 등장하는 모든 랜섬웨어 그룹들은 다 비슷비슷합니다. 기본적으로는 메이즈(Maze), 류크(Ryuk), 넷워커(NetWalker) 등 잘 알려진 그룹들을 따라하는 것이니까요. 프로메테우스의 한 가지 특징이라면 피해자들이 돈을 내지 않을 때 정보를 판매하는데, 이에 대해 전혀 숨기지 않는다는 겁니다.”

프로메테우스는 현재 다크웹에서 빠르게 증식 중에 있는 랜섬웨어 전문 조직들 중 하나에 불과하다. 유명 랜섬웨어 그룹들이 사업 모델을 안정적으로 굳히고 높은 수익을 거두기 시작하자 너도나도 이를 본 따기 시작한 것이다. 게다가 점점 더 대담해지고 있다. 그 대담성은 콜로니얼 파이프라인(Colonial Pipeline)과 JBS 푸즈(JBS Foods)를 겨냥한 공격을 통해 드러났다. 이 때문에 랜섬웨어 공격을 국가 차원에서 다뤄야 한다는 목소리가 생겨났고 실제 백악관은 랜섬웨어 공격을 테러와 동급으로 다루기 시작했다.

영국의 사이버 보안 전문가인 케빈 뷰몬트(Kevin Beaumont)는 “국가 차원에서 랜섬웨어 산업을 다루는 게 맞는 일”이라고 말한다. “이들은 이미 랜섬웨어를 가지고 산업화를 이뤄냈습니다. 랜섬웨어 공격의 배후에 거대한 산업 인프라와 자본이 존재한다는 겁니다. 개개인이 맞서려면 그저 협박에 응해 돈을 내는 수밖에 없습니다. 그러면 랜섬웨어 산업은 더 커지겠죠. 악순환이 이어지는 겁니다.”

보안 업체 디지털 셰도우즈(Digital Shadows)의 수석 분석가인 션 니케이(Sean Nikkei)는 “언론에 공개된 랜섬웨어 사건과 랜섬웨어 조직의 수는 빙산의 일각에 불과하다”고 말한다. “랜섬웨어 산업은 어마어마하게 큰 성장을 이뤄냈습니다. 단순히 돈만 많이 벌었다는 게 아닙니다. 수많은 사람들이 이 산업에 참여하고 있다는 뜻도 되죠. 요즘 랜섬웨어 공격자들은 데이터를 유출시키기 때문에 피해자들이 쉬쉬하는 걸 선택하고, 그래서 사건들이 잘 알려지지 않습니다.”

디지털 셰도우즈의 부회장인 릭 홀란드(Rick Holland)는 “그렇기 때문에 랜섬웨어를 더더욱 ‘다같이’ 대응해야 한다”고 강조한다. “랜섬웨어를 테러의 수준에서 다룬다는 건 크게 두 가지 뜻을 가지고 있습니다. 세계의 정부 기관들이 연합하여 대응해야 한다는 것이 한 가지이고, 영원히 끝나지 않는 전쟁이라는 것이 다른 한 가지입니다. 실제 테러와의 전쟁은 끝나지 않는 전쟁이라고도 불리죠. 랜섬웨어도 상당한 기간 동안 지속될 것입니다.”

3줄 요약
1. 또 하나의 새로운 랜섬웨어 집단이 다크웹에서 생겨남.
2. 레빌 랜섬웨어 공격 단체와의 친분 자랑하는 등 경쟁에서 우위 점하려 노력 중.
3. 랜섬웨어와의 전쟁은 ‘연합하여’, ‘영원히’ 수행해야 할 듯.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북