록빗이 공격에 사용하던 소스코드, 랜섬웨어 피해자에 대한 상세 정보, 복호화 키 등이 확보됨
보안 업계 曰, '록빗이 완전히 사라지지 않을 것' → 실제 공격 인프라에 큰 손상 입고 두 명의 관계자 체포 후 나흘 뒤 록빗 부활
올해도 랜섬웨어는 위협적일 것인가?
랜섬웨어(Ransomware)
컴퓨터(피해자)에 침투해 파일 등을 암호화해 사용하지 못하게 하는 악성 프로그램
피해자가 돈을 지불하면 잠긴 파일을 제공하는 방식으로 수익을 창출.
랜섬웨어로 인한 피해는 나날이 증가할 것으로 예상
2022년 잠시 '랜섬웨어는 점차 줄어들 것'이라는 전망이 있었으나, 다시 일 년만에 공격의 빈도·범위·규모 증가
글로벌 사이버 보안 기업 체이널리시스(Chainalysis)의 '2024년 가상자산 범죄 보고서'
2023년 랜섬웨어로 인한 글로벌 피해: 11억 달러(11조 5,000억 원)로 집계 → 전년 대비 약 2배 증가
2022년을 제외한 모든 해에 피해 꾸준히 증가중인 것을 확인할 수 있음
국내외 사이버 보안 기업들은 공통적으로 '올해 역시 랜섬웨어로 인한 피해가 지속될 것'이라고 발표
이글루코퍼레이션
올 한 해 발생할 사이버 위협: 이중 공격, 랜섬웨어 공격기법의 고도화
전문화된 조직과 지능화된 공격 기술을 바탕으로 서비스형 랜섬웨어 시장 성황 예상
안랩
서비스형 랜섬웨어 조직의 변화가 가속화될 것
최근 랜섬웨어 조직들에 대한 법 집행기관의 대응 강화에 따라, RaaS 조직들은 생태계 유지를 위해 다양한 변화 시도할 것
다중 랜섬웨어(Multiple Ransomware) 전략 펼칠 것으로 예상 ▶ 다크웹 내 포럼과 마켓 이동하며 이름 바꾸는 '리 브랜드' 전략, 수사 기관의 추적 어렵게 만들고 공격 실패 시 대체 수단으로 사용하기 위해 다른 RaaS 조직이 사용하는 랜섬웨어의 변형 활용 등.
가상화 플랫폼을 노리는 랜섬웨어 증가 전망 ▶ 최근 가상화 플랫폼 도입 기업 증가하는 추세, 기업의 주요 문서·내부 인프라·기밀자료 등 탈취 위함.
SK쉴더스
제로데이(Zero Day)를 악용한 랜섬웨어 공격 전략이 고도화될 것
최근 기업들이 유지 관리 비용 절감 및 시스템 문제 해결 위한 액세스 용도로 '시스템 원격 액세스 및 제어를 위한 모니터링 관리 도구(RMM)'를 다수 활용 중 → RMM은 내부에서 쉽게 탐지되지 않는 정상적 활동으로 분류되어 많은 랜섬웨어 그룹들이 이를 악용.
AI 기술 발전에 따라 랜섬웨어 유포 방식도 지능적으로 변화 중
최근 랜섬웨어 그룹들이 특정 조직 대상으로 하는 지능형 지속 공격(Advanced Persistent Threat, APT)에 주력하는 것이 아닌 'MOVEit', 'GoAnywhere' 등 상용 솔루션들의 제로데이 취약점 악용해 대규모 공격 수행하는 흐름으로 변화함에 주목해야 함
제로데이 - 온라인 게시판에서 새로운 소프트웨어가 공개적으로 배포된 날을 의미하던 단어에서 유래.
개발자가 결함 해결할 기회 갖기 전에 해커가 결함 악용할 때 발생.
해킹 공격 시점에 보안의 구멍을 막을 방법이 없기에 위험.
정리- 국내외 사이버 보안 기업들이 바라본 사이버 위협 전망
1
이중 공격(Double Attack), 랜섬웨어 공격기법의 고도화
2
RaaS(서비스형 랜섬웨어 조직의 변화 가속
3
가상화 플랫폼을 노리는 랜섬웨어 활개
4
제로데이 악용한 랜섬웨어 공격 전략 고도화
국제 수사 기관의 공조로 무력화된 '록빗(LockBit)'
록빗의 검거 소식에 많은 관심이 집중된 이유
록빗은 수많은 랜섬웨어 조직들 중 가장 활발하게 활동하고 수익성이 높은 조직으로 평가.
지난 4년간 록빗은 약 2,000명의 피해자를 낳고, 1억 2,000만 달러(한화 약 1,600억 원) 가량 탈취.
지난해 전 세계에서 이뤄진 전체 랜섬웨어 공격 4천여 건 중 23%에 달하는 공격이 록빗의 소행
서비스형 랜섬웨어 사업을 이끈 대표 집단, 랜섬웨어 확산에 가장 많은 영향을 미침
록빗의 소행
영국 우편 회사인 로열 메일(Royal Mail)과 국가보건서비스(Nation Health Service) 등을 공격해 시스템 마비시킨 혐의
미국 항공기 제조 회사 보잉(Boeing) 공격해 확보한 내부 자료 온라인에 공개
중국공상은행(Industrial and Commercial Bank of China)의 미국 지사로부터 돈을 받고 랜섬웨어 공격을 끝냈다고 밝힘
록빗의 우두머리 '록빗수프(LockBitSoup)'는 자신들을 처음 찾아내 신원 밝히는 사람에게 1천만 달러를 주겠다고 현상금을 걸음"ㅈ
크로노스(Cronos)
록빗을 무력화시킨 작전
영국 국가범죄청(NCA), 미국 법무부(DoJ), 연방수사국(FBI) 포함한 10여 개국의 수사 기관이 참여
해당 작전으로 확보한 것들
록빗이 공격에 사용하던 소스코드
랜섬웨어 피해자들에 대한 상세 정보
록빗이 탈취한 데이터
복호화 키
랜섬웨어 공격을 수행하는 1만 4,000개의 계정
록빗과 록빗의 협력자들이 가져간 돈과 관련된 정보
랜섬웨어 생태계가 가진 특성 '부활(Resurrect)'
크로노스 작전 이후 록빗 사이트 폐쇄되어 록빗은 새로운 웹사이트를 마련해 부활한 모습을 보여줌
“저의 개인적인 해이와 무책임으로 PHP 취약점(CVE-2023-3824로 CVSS 기준 9.8점으로 평가)을 제때 패치하지 못했습니다. 그 결과 외부에서 록빗 공격 인프라에 침투하도록 허용하게 됐고, 두 개의 주요 서버들이 실제 공격에 당하게 됐습니다.”
"탈취되지 않은 서버들에는 백업 블로그가 있었고, 취약한 PHP가 설치되어 있지 않았다."
▲ 업데이트만 했더라도 수사 기관에게 뚫릴 일은 벌어지지 않았을 것이라는 자만심의 표현
▲ 이전 훔친 데이터는 계속 보관할 수 있었으며 해당 데이터 바탕으로 다시 조직 운영하는 것이 가능했다고 전함
부활
록빗 외에도 랜섬웨어 조직들의 부활은 빈번한 일
지난 수년간 여러 수사 기관들은 각종 랜섬웨어 조직들을 추적하고 무력화하는 데 많은 노력 기울였으나, 국제 공조의 직접적 표적 되고서도 살아남은 랜섬웨어 조직이 다수.
블랙캣(BlackCat), 클롭(CLOP) 등은 부활해 현재까지 활발하게 활동 중
랜섬웨어 조직이 부활하더라도, 무력화로 인한 해당 조직의 피해는 확실하게 존재
신뢰도 하락(랜섬웨어 조직의 파트너들에게 신뢰도를 잃음) → 수익 창출에 영향?
결론
랜섬웨어 조직들로 인한 피해는 앞으로도 지속될 것
빠른 시간 내에 록빗은 부활했지만, 록빗의 공격 수법 및 복호화 키 등 정보 확보에 따라 피해자들에게는 긍정적인 영향
록빗은 부활 이후에도 빠르게 공격 인프라를 복구 중
랜섬웨어 피해의 지속적 증가 실정에 따라, 랜섬웨어 조직 무력화를 위해 더욱 강력한 조치와 정책 필요할 것으로 전망됨
