침투에 성공하면 횡적으로 움직이며 중요한 데이터를 수집...FTP로 전송

[이미지 = iclickart]

메이즈 운영자들은 최근 랜섬웨어 공격의 효율을 높이기 위해 투트랙 전략을 사용하기 시작했다. 하나는 전통적인 방법으로, 데이터를 암호화 한 뒤 돈을 달라고 협박하는 것이다. 그런데 일부 피해자들은 돈을 내지 않는 걸 선택하기도 한다. 그래서 메이즈는 두 번째 방안으로 ‘돈을 내지 않겠다면 데이터를 공개한다’는 전략을 추가했다.

현재 메이즈 운영자들은 웹사이트를 하나 만들어 둔 상태다. 현재 여기에는 8개 기업들의 이름과 웹사이트 주소가 공개되어 있다. 이들은 랜섬웨어에 걸려놓고 데이터 복구 비용을 내지 않은 곳이라고 한다. 보안 전문 기자 브라이언 크렙스(Brian Krebs)가 이들 중 한 곳에서 메이즈 공격이 있었음을 확인했다고 한다.

메이즈 운영자들은 최초 침투 일을 비롯한 공격 일지나 위 기업들로부터 훔친 문건들을 공개하고 있다. 심지어 서버의 기계 이름과 IP 주소와 같은, 추가 공격으로 이어질 수 있는 기술적 정보들도 공개 대상이 되었다. 메이즈 공격자들은 이와 같은 일을 벌이기 전 정보 수집 행위를 대대적으로 벌린 것으로 알려져 있다.

한 사건의 경우 공격자들은 1) 네트워크에 최초로 침투한 뒤 2) 코발트 스트라이크(Cobalt Strike)라는 모의 해킹 도구를 먼저 사용해 데이터를 수집하고 횡적으로 움직였다. 3) 이 때 러시아의 해킹 단체인 코지 베어(Cozy Bear)가 사용하는 기술도 눈에 띄었다. 4) 수집한 데이터는 파워셸을 통해 원격 FTP 서버로 옮겼다. 5) 그런 후 랜섬웨어를 사용해 데이터를 암호화 했다.

시스코의 탈로스 팀도 비슷한 공격을 발견했다. 이 공격자들 역시 최초 침투 이후 코발트 스트라이크를 사용해 데이터를 수집한 후, 파워셸을 가지고 데이터를 원격 FTP로 옮겼다고 한다. 그 다음 해당 정보를 공개하겠다며, 피해자들에게 돈을 요구했다고 한다.

이 두 공격의 경우, 따로따로 발견되긴 했지만 C&C 인프라가 동일하고, 데이터가 전송되는 서버가 같으며, 7-Zip을 사용해 데이터를 압축한다는 면도 닮아 있어서 같은 자들이 배후에 있는 것이 거의 확실시 되고 있다.

탈로스는 “랜섬웨어 공격자들이 수익의 극대화를 연구하기 시작하면서 랜섬웨어가 계속해서 변모하고 있다”고 지적한다. “살포식 공격이 표적화로 변하더니, 이제는 데이터를 먼저 빼내고 수익을 이중으로 거두는 데에까지 왔습니다. 랜섬웨어의 인기가 한 동안 식지 않을 것으로 보입니다.”

데이터를 손에 들고 협박하기 시작한 공격자들은, 해당 데이터를 다크웹에서 거래하면서 수익을 높일 수도 있다. 심지어 공격을 당한 회사와 경쟁 구도를 이루고 있는 다른 회사에 중요한 정보를 판매하는 것도 가능하다. 이런 경우 피해자들은 범인들에게 돈을 내도 피해를 입게 된다.

탈로스 팀은 “사이버 범죄자들 사이에서 사업을 벌이고 수익을 극대화 하는 사고방식이 자리 잡은 건 이미 오래된 일”이라며, “이들은 돈을 벌기 위해 어떤 짓이라도 할 수 있으며, 실제로 그렇게 하고 있다”고 경고했다.

3줄 요약

1. 메이즈 랜섬웨어 공격자들, ‘데이터 암호화’만이 아니라 ‘데이터 공개’도 협박거리로 사용.

2. 침투에 성공하면 데이터를 수집하는 것부터 시작. 암호화는 그 다음.

3. 랜섬웨어의 인기 한동안 지속될 것이므로, 앞으로 계속해서 진화할 것. 

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=85334&page=1&kind=1]​