류크 랜섬웨어, 현재 랜섬웨어 산업 장악하고 있어

입력 : 2020-06-16 14:34

메이즈 등 차기 후보 있지만 네 번의 분기가 지나는 동안 1위 자리 내어주지 않아
최근 ‘리빙 오프 더 랜드’ 전략 사용하기 시작...보안 예산 낮아진 틈 악용

[보안뉴스 문가용 기자] 류크(Ryuk)가 랜섬웨어 산업을 말 그대로 장악하고 있다. 네 사분기를 지나는 동안 연속 1위를 차지하고 있는 것이다. 이러한 내용의 보고서를 발표한 시스코 탈로스(Cisco Talos) 팀은 “랜섬웨어 공격자들이 코로나 대처에 자원을 투자해야 하므로 보안 예산이 낮아진 조직들의 뒤통수를 치고 있다”고 경고하기도 했다.


보고서에 의하면 현재 가장 많이 나타나는 보안 위협은 ‘랜섬웨어’라고 한다. 이 중 가장 많은 사람들을 감염시키고, 가장 빈번히 나타나는 랜섬웨어는 류크였다. 탈로스 팀 사건 대응 총괄인 션 메이슨(Sean Mason)에 의하면 “작년에도 최악의 랜섬웨어는 류크였다”고 말한다. “다른 랜섬웨어들이 나타나고는 있지만, 아직 류크를 추월하지는 못했습니다.”

류크의 또 다른 특징은 계속해서 전략이 변한다는 것이다. 메이슨은 “최근 류크는 트로이목마의 감염을 통해 전파되는 것이 보통이었는데, 최근에는 다른 방법을 차용하기 시작했다”며 “이 때문에 탐지가 어려워지고 있고, 그래서 더 폭발적으로 사용되는 중”이라고 설명한다. 이전까지 류크는 이모텟(Emotet)과 트릭봇(TrickBot)이 감염시킨 시스템을 공격했었다.

하지만 시스코 팀이 탐지한 바에 의하면 이모텟과 트릭봇 공격이 류크 랜섬웨어로 이어지는 사례가 점차 줄어들고 있다고 한다. 이모텟과 트릭봇이 워낙 광범위하게 사용되다 보니 탐지되는 일이 늘어났고, 그에 따라 공격 성공률이 떨어지기 시작했기 때문이라고 보인다. 대산 류크 운영자들은 ‘리빙 오프 더 랜드(living off the land)’ 전략, 즉 피해 시스템에 원래부터 설치되어 있는 서비스나 프로그램을 자신들의 목적에 맞게 이용하는 방법을 선택했다고 한다.

“이 전략의 장점은 노이즈가 적다는 겁니다. 즉 경보가 울리지 않습니다. 최대한 조용히, 원하는 만큼 머물며 필요한 모든 정보를 가져갈 수 있습니다. 물론 시간이 그만큼 더 걸린다는 단점도 있지만, 공격 성공률이 좋고, 공격 성공 시 파괴력도 높습니다.” 메이슨의 설명이다.

류크의 변화는 이것만이 아니다. 인코딩 된 파워셸 명령어들을 사용해 1단계 페이로드를 다운로드 한 뒤, 백신 등 보안 도구들을 무력화시키고 백업을 중지하며, 네트워크를 스캔해 온라인 호스트와 오프라인 호스트들을 목록화 한다. 또한 이전보다 윈도우 관리 도구(WMI)와 비츠어드민(BitsAdmin)을 더 많이 활용해 PsExec와 류크 페이로드를 배포하기 시작했다.

요즘 유행하는 것처럼, 민감한 정보를 미리 빼돌려 피해자에게 거센 압박을 가하는 전략도 차용하고 있다. 메이슨은 “공격자들에게 있어 랜섬웨어는 고가치 산업”이라며 “최근 정보를 빼돌리는 수법을 더하는 등 여러 가지 전략 수정을 거듭해 수익을 더 높이고 있다”고 설명을 추가했다.

류크에 당한 산업은 다양하다. 에너지, 편의시설, 금융, 정부 기관, 의료 단체, 산업, 생산, 도소매, 기술, 통신, 운송 등 무차별적으로 랜섬웨어 공격이 나타나고 있는데, 류크 역시 마찬가지다. 이 중 가장 피해가 심한 곳은 의료와 기술 분야였다. 주로 금융 기관과 정부 기관에서 피해가 커왔던 것을 생각하면 이 역시 흥미로운 변화라고 볼 수 있다.

랜섬웨어 공격의 포문을 여는 방식으로서는 피싱이 여전히 가장 많이 활용되는 것으로 나타났다. 하지만 “브루트포스 공격 기법을 사용하는 사례도 있는 편”이라고 한다. “그 외에 포보스(Phobos)라는 랜섬웨어도 심상치 않게 증가하는 중입니다. 주로 RDS 연결을 침해하는 방식을 침투합니다. 이런 저런 최초 침투 기법들이 존재하지만 피싱이 단연 1위입니다.”

의료 기관에서 랜섬웨어 공격이 보다 심각한 것으로 나타나는 이유는 코로나 때문인 것으로 분석된다. 코로나 대응에 거의 모든 자원을 투자하는 업계일 수밖에 없고, 따라서 보안에 신경 쓸 여력이 없다는 점을 공격자들이 적극 노리는 것으로 보인다.

3줄 요약
1. 현재 가장 심각한 피해를 일으키고 있는 랜섬웨어는 류크.
2. 주로 이모텟이나 트릭봇 통해 퍼졌으나 최근 들어 ‘리빙 오프 더 랜드’ 전략 사용.
3. 랜섬웨어가 최초로 침투하기 위해 사용하는 전략 중 단연 1위는 피싱.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  라자루스·안다리엘·김수키까지 北 해커조직 총...

• 2

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  [이슈인터뷰] 과기정통부 심주섭 과장 “상반...

• 5

  ‘2024년 과학기술·정보통신의 날’ 기념식...

• 1

  사이버 보안 전문가 자격을 나라에서 직접 주...

• 2

  VPN 겨냥한 비밀번호 분사 공격 유행하고 ...

• 3

  EvilQueen 해커조직, 온라인 쇼핑몰 ...

• 4

  인공지능의 자원 소모 문제, 이제는 직시해야...

• 5

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  집 앞에 우편물 도착안내서가? 신종 보이스피...

• 3

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 4

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 5

  2023년 가장 주목받은 사이버 위협 커뮤니...