연합, 카르텔, 복구 툴 위장 등 빠르게 돌아가는 랜섬웨어 산업

메이즈 랜섬웨어는 라그나로커, 록빗과 손잡고 랜섬웨어 카르텔 만들 듯
스톱 데자뷰 랜섬웨어 복호화 툴로 위장된 조랍 랜섬웨어...‘더블 트러블’ 일으켜

[보안뉴스 문가용 기자] 메이즈(Maze) 랜섬웨어 운영자들이 얼마 전 “또 다른 랜섬웨어 운영자들과 손을 잡게 됐다”며 “이러다 사이버 범죄 카르텔이 만들어지겠다”고 농담을 한 바 있다. 당시 손을 잡게 된 사이버 범죄 단체의 이름이 공개되지는 않았는데, 보아하니 라그나로커(Ragnar Locker)의 운영자들인 것 같다.

[이미지 = utoimage]

메이즈는 돈을 내지 않는 피해자들이 있을 경우, 민감한 데이터를 공개하는 것으로 악명 높은 단체다. 이 때 메이즈는 자기들이 만든 데이터 공개 전용 웹사이트를 이용하는데, 최근 한 마케팅 에이전시의 정보가 새롭게 올라오고 있었다. 거기에는 “라그나로커 운영자들의 성과”라는 설명이 덧붙어 있었다. 라그나로커도 비슷한 사이트를 운영 중이었는데, 해당 사이트가 얼마 전 폐쇄되기도 했었다.

둘이 손을 잡기 전에도 록빗(LockBit)이라는 랜섬웨어를 운영하던 자들도 메이즈에 합류한 바 있다. 록빗은 한 건축 회사의 정보를 메이즈의 웹사이트를 통해 공개하기도 했었다. 메이즈는 현재 “다른 단체들과 손을 잡고 일하고 싶다”고 공공연하게 말하고 다니는 상황이다.

라그나로커는 최초로 가상기계를 설치하여 랜섬웨어 공격을 실시하는 것으로 얼마 전 유명세를 타기도 했었다. 메이즈는 ‘경험이 풍부하고 실력을 갖춘’ 자들과 손을 잡고 싶다고 말했었는데 라그나로커의 이러한 전적이 파트너십 체결에 영향을 미친 것으로 보인다. 가상기계부터 설치해 랜섬웨어를 공격하는 방식은 라그나로커 이전에 보고된 바 없다.

한편 미국 앨라배마 주 플로렌스 시도 랜섬웨어에 당했다. 도플페이머(DopplePaymer) 공격이 발생한 것으로 사건은 6월 5일에 발생했다고 한다. 이 공격은 DHL을 사칭한 피싱 메일로붙 시작됐으며, 이 메일을 열어본 사람은 IT 관리자라고 한다. 이를 보도한 건 보안 전문 블로거 크렙스 온 시큐리티(Krebs on Security)였다.

새로운 랜섬웨어인 조랍(Zorab)이 등장하기도 했다. 흥미로운 건 이 랜섬웨어가 스톱 데자뷰(STOP Djvu)라는 랜섬웨어의 복호화 툴인 것처럼 위장되어 있다는 것이다. 이에 대해서는 블리핑컴퓨터가 최초로 보도했다. 가짜 스톱 데자뷰 복호화 툴이 배포되고 있는데 사실 또 다른 랜섬웨어라는 내용이었다.

하지만 보도가 나가기 전에 이 가짜 복구 툴을 접한 스톱 데자뷰 피해자들은, 오히려 상황이 악화되는 일을 겪어야만 했다. 암호화 된 파일이, 다시 한 번 암호회 된 것이다. 따라서 복구가 더 힘들게 되었고, 복구가 잘 될지도 미지수인 상태다.

조랍 공격자들이 악용하고 있는 스톱 데자뷰 복구 툴은 지난 해 10월 보안 업체 엠시소프트(Emsisoft)가 개발해 배포했었다. 이를 받아가는 사람들이 많다는 것을 알고 조랍 공격자들이 전략을 짜맞춘 것이다.

다행히 엠시소프트는 조랍에 대한 복호화 툴을 개발하는 데에도 성공했다. 두 번의 암호화에 당한 피해자라면 제일 먼저 이 조랍 복호화 툴을 실행시켜 암호화 문제를 한 번 해결하고, 엠시소프트가 배포하는 정식 스톱 데자뷰 복호화 툴을 두 번째로 사용해 파일을 복구해야 한다. 다만 스톱 데자뷰의 최신 버전에 당했다면 엠시소프트의 복호화 툴이 안 통할 가능성이 높다.

3줄 요약
1. 메이즈 랜섬웨어, 다른 조직과 손 잡으며 랜섬웨어 카르텔 형성 중.
2. 미국 플로렌스 시는 도플페이머 랜섬웨어에 걸림. 발단이 된 건 IT 담당자.
3. 복호화 툴인 줄 알고 받았더니 또 다른 랜섬웨어라니!
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)