Home > 전체기사
류크 랜섬웨어, 현재 랜섬웨어 산업 장악하고 있어
  |  입력 : 2020-06-16 14:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
메이즈 등 차기 후보 있지만 네 번의 분기가 지나는 동안 1위 자리 내어주지 않아
최근 ‘리빙 오프 더 랜드’ 전략 사용하기 시작...보안 예산 낮아진 틈 악용


[보안뉴스 문가용 기자] 류크(Ryuk)가 랜섬웨어 산업을 말 그대로 장악하고 있다. 네 사분기를 지나는 동안 연속 1위를 차지하고 있는 것이다. 이러한 내용의 보고서를 발표한 시스코 탈로스(Cisco Talos) 팀은 “랜섬웨어 공격자들이 코로나 대처에 자원을 투자해야 하므로 보안 예산이 낮아진 조직들의 뒤통수를 치고 있다”고 경고하기도 했다.

[이미지 = utoimage]


보고서에 의하면 현재 가장 많이 나타나는 보안 위협은 ‘랜섬웨어’라고 한다. 이 중 가장 많은 사람들을 감염시키고, 가장 빈번히 나타나는 랜섬웨어는 류크였다. 탈로스 팀 사건 대응 총괄인 션 메이슨(Sean Mason)에 의하면 “작년에도 최악의 랜섬웨어는 류크였다”고 말한다. “다른 랜섬웨어들이 나타나고는 있지만, 아직 류크를 추월하지는 못했습니다.”

류크의 또 다른 특징은 계속해서 전략이 변한다는 것이다. 메이슨은 “최근 류크는 트로이목마의 감염을 통해 전파되는 것이 보통이었는데, 최근에는 다른 방법을 차용하기 시작했다”며 “이 때문에 탐지가 어려워지고 있고, 그래서 더 폭발적으로 사용되는 중”이라고 설명한다. 이전까지 류크는 이모텟(Emotet)과 트릭봇(TrickBot)이 감염시킨 시스템을 공격했었다.

하지만 시스코 팀이 탐지한 바에 의하면 이모텟과 트릭봇 공격이 류크 랜섬웨어로 이어지는 사례가 점차 줄어들고 있다고 한다. 이모텟과 트릭봇이 워낙 광범위하게 사용되다 보니 탐지되는 일이 늘어났고, 그에 따라 공격 성공률이 떨어지기 시작했기 때문이라고 보인다. 대산 류크 운영자들은 ‘리빙 오프 더 랜드(living off the land)’ 전략, 즉 피해 시스템에 원래부터 설치되어 있는 서비스나 프로그램을 자신들의 목적에 맞게 이용하는 방법을 선택했다고 한다.

“이 전략의 장점은 노이즈가 적다는 겁니다. 즉 경보가 울리지 않습니다. 최대한 조용히, 원하는 만큼 머물며 필요한 모든 정보를 가져갈 수 있습니다. 물론 시간이 그만큼 더 걸린다는 단점도 있지만, 공격 성공률이 좋고, 공격 성공 시 파괴력도 높습니다.” 메이슨의 설명이다.

류크의 변화는 이것만이 아니다. 인코딩 된 파워셸 명령어들을 사용해 1단계 페이로드를 다운로드 한 뒤, 백신 등 보안 도구들을 무력화시키고 백업을 중지하며, 네트워크를 스캔해 온라인 호스트와 오프라인 호스트들을 목록화 한다. 또한 이전보다 윈도우 관리 도구(WMI)와 비츠어드민(BitsAdmin)을 더 많이 활용해 PsExec와 류크 페이로드를 배포하기 시작했다.

요즘 유행하는 것처럼, 민감한 정보를 미리 빼돌려 피해자에게 거센 압박을 가하는 전략도 차용하고 있다. 메이슨은 “공격자들에게 있어 랜섬웨어는 고가치 산업”이라며 “최근 정보를 빼돌리는 수법을 더하는 등 여러 가지 전략 수정을 거듭해 수익을 더 높이고 있다”고 설명을 추가했다.

류크에 당한 산업은 다양하다. 에너지, 편의시설, 금융, 정부 기관, 의료 단체, 산업, 생산, 도소매, 기술, 통신, 운송 등 무차별적으로 랜섬웨어 공격이 나타나고 있는데, 류크 역시 마찬가지다. 이 중 가장 피해가 심한 곳은 의료와 기술 분야였다. 주로 금융 기관과 정부 기관에서 피해가 커왔던 것을 생각하면 이 역시 흥미로운 변화라고 볼 수 있다.

랜섬웨어 공격의 포문을 여는 방식으로서는 피싱이 여전히 가장 많이 활용되는 것으로 나타났다. 하지만 “브루트포스 공격 기법을 사용하는 사례도 있는 편”이라고 한다. “그 외에 포보스(Phobos)라는 랜섬웨어도 심상치 않게 증가하는 중입니다. 주로 RDS 연결을 침해하는 방식을 침투합니다. 이런 저런 최초 침투 기법들이 존재하지만 피싱이 단연 1위입니다.”

의료 기관에서 랜섬웨어 공격이 보다 심각한 것으로 나타나는 이유는 코로나 때문인 것으로 분석된다. 코로나 대응에 거의 모든 자원을 투자하는 업계일 수밖에 없고, 따라서 보안에 신경 쓸 여력이 없다는 점을 공격자들이 적극 노리는 것으로 보인다.

3줄 요약
1. 현재 가장 심각한 피해를 일으키고 있는 랜섬웨어는 류크.
2. 주로 이모텟이나 트릭봇 통해 퍼졌으나 최근 들어 ‘리빙 오프 더 랜드’ 전략 사용.
3. 랜섬웨어가 최초로 침투하기 위해 사용하는 전략 중 단연 1위는 피싱.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)