검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'락빗'통합검색 결과 입니다. (6건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

악명 떨치던 락빗·블랙캣 대신 新 랜섬웨어 조직 '기승'…RaaS 판 친다

전 세계적으로 악명을 떨친 락빗, 블랙캣 등 랜섬웨어 조직들의 영향력이 올해 2분기 동안 크게 약화된 것으로 나타났다. 국제 사법기관들의 공조, 파트너들의 신뢰를 저버리는 행위 등으로 이들이 힘을 쓰지 못하는 사이 랜섬허브, 킬섹, 캐시 랜섬웨어, 엘도라도 등 다양한 RaaS(서비스형 랜섬웨어)들도 우후죽순 등장했다. 이스트시큐리티는 올해 2분기 주요 랜섬웨어 동향으로 ▲우후죽순 등장하는 RaaS 서비스 ▲ 정크건(Junk Gun)의 등장 ▲랜섬웨어의 공격 지속 ▲ESXi 타깃 랜섬웨어 공격 패턴 공개 등을 선정했다고 17일 밝혔다. 새로 등장한 RaaS 서비스 중 랜섬허브 RaaS는 고(Go)언어와 C++언어로 제작된 멀티플랫폼(윈도우, 리눅스, ESXi) 서비스다. 랜섬허브 RaaS는 파트너사에게 많은 제휴사 유치를 위해 높은 커미션을 제시하는 것으로 보인다. 실제로 매우 빠른 속도로 성장하고 있으며 일각에서는 코드 및 난독화 기술 등의 유사성을 언급하며 랜섬허브가 나이트 랜섬웨어의 리브랜딩 버전이라는 의견도 있다. 해커그룹 킬섹은 '킬섹 RaaS'를 공개하며 주목 받았다. 이 서비스는 토르 네트워크를 사용하며 통계, 채팅, 빌드 기능 등 사용자들을 위해 다양한 편의성을 제공하는 것으로 알려졌다. 또 향후에는 디도스, 통화기능, 정보탈취 기능 등이 업데이트 될 예정이다. 보안업체 소포스는 가격이 저렴하고 낮은 수준의 '정크건' 랜섬웨어에 대해 공개했다. 아 랜섬웨어들은 기존 파트너 기반의 구독형 RaaS와는 다르게 독자적으로 운영되며 저렴한 가격이 특징이다. 소포스는 지난해 6월부터 올해 2월 동안 수집한 19가지 종류의 정크건 랜섬웨어 정보를 공개했다. 기존의 RaaS들과 비교하면 정교함과 기술력이 뒤떨어지지만 평균 가격이 400달러로, 공격에 성공하면 얻은 수익의 전부를 가져간다는 점에서 많은 초보 해커들이 찾고 있다. CVE-2023-22518 취약점을 악용한 케르베르 랜섬웨어의 리눅스 변종도 2분기 동안 배포됐다. 이 취약점은 아틀라시안 컨플루언스 데이터센터 및 서버에 존재하며 공격자들은 해당 취약점을 악용해 관리자 계정을 생성하고 웹 셸을 통해 랜섬웨어를 실행한다. CVE-2023-22518 취약점 패치가 공개됐지만 여전히 패치되지 않은 시스템을 타깃으로 공격이 지속되고 있는 만큼 보안담당자들의 빠른 패치가 필요하다. 사용자들이 가짜 소프트웨어를 내려받도록 유도하는 캠페인도 발견됐다. 공격자들은 검색엔진에서 특정 소프트웨어를 검색할 때 정상 퍼티(Putty) 및 윈(Win)SCP 프로그램 다운로드 페이지처럼 위장한 광고 페이지를 띄워 사용자로 하여금 가짜 소프트웨어를 내려받도록 유도한다. 이 설치 패키지 내부에는 정상 'exe' 파일과 함께 악성 '파이톤(python)311.dll'이 포함돼 있다. 사용자는 셋업 파일 실행 시 DLL 사이드로딩(DLL Sideloading)을 통해 악성 dll이 실행되고 최종적으로 랜섬웨어 배포를 시도한다. 이런 공격방식은 블랙캣·알프브이(BlackCat·ALPHV) 랜섬웨어를 배포한 공격 캠페인과 유사하지만 랜섬웨어와 관련된 자세한 정보는 공개되지 않았다. VM웨어 ESXi 시스템을 타깃으로 하는 랜섬웨어 공격이 지속되고 있는 가운데 보안전문가들은 관련 공격 패턴에 대해서도 예의주시하고 있다. 주로 피싱, 악성파일 다운로드, 취약점 등을 통해 최초 공격이 시도되는 것으로 알려졌다. 최초 공격이 성공하면 부르트 포스(brute force) 공격이나 기타 방식을 이용해 ESXi 호스트 또는 v센터에 접근을 위한 권한 상승을 시도하며 이후 백업 시스템을 파괴하거나 암호화하고 데이터를 탈취한다. 데이터 탈취 후에는 랜섬웨어를 실행시켜 ESXi 파일 시스템의 하위 디렉토리를 암호화 하고 가상화 되지 않은 워크스테이션과 서버에 랜섬웨어를 확산시킨다. 이 같은 공격 수법들이 등장하고 있음에도 불구하고 이스트시큐리티는 '알약'의 랜섬웨어 행위기반 사전 차단 기능을 통해 2분기 동안 총 7만1천416건의 랜섬웨어 공격을 차단했다. 하루 평균 793건의 랜섬웨어 공격이 차단된 셈이다. 이스트시큐리티 ESRC는 "보안 취약점을 이용한 랜섬웨어 공격이 끊임없이 발생하고 있다"며 "주요 소프트웨어의 정기적인 업데이트를 통해 보안 취약점을 악용한 랜섬웨어 공격을 사전에 최대한 방지할 것을 당부한다"고 밝혔다.

2024.07.17 11:14장유미

美 FBI, 락빗 랜섬웨어 암호화 해독 키 무료 제공

미국 연방수사국(FBI)이 악명 높은 랜섬웨어 집단 '락빗(LockBit)'의 피해자 데이터 복구 지원을 본격화한다. 7일 실리콘앵글 등 외신에 따르면 FBI 브라이언 본드란 사이버 부서 부국장은 2024 보스턴 사이버 보안 회의 기조연설에서 락빗으로부터 압수한 암호 해독 키를 공개한다고 밝혔다. FBI는 락빗 피해자들이 무료로 해독 키를 이용할 수 있도록 웹사이트와 헬프 데스크를 운영하며 인터넷 범죄 불만 센터(IC3)와 직접 연결을 통한 지원도 제공한다. 이번 조치는 미국을 비롯해 전 세계 수백 개 기관과 기업에게도 지원될 전망이다. 브라이언 본드란 부국장은 "지속적인 락빗 중단 작전으로 이제 7천 개가 넘는 암호 해독 키를 보유하게 됐다"며 "우리는 락빗 피해자에게 연락하고 피해자라고 의심되는 사람은 인터넷 범죄 신고 센터를 방문할 것을 권장하고 있다"고 말했다. 락빗 지난 몇 년간 글로벌 랜섬웨어 공격에서 가장 활발히 활동하는 조직 중 하나로, 주로 금융 서비스, 보건 의료, 제조, 교육 및 정부 기관을 타겟으로 활동해 왔다. 이들은 전 세계적으로 2천400회 이상의 공격을 실행했으며, 이로 인한 피해는 수십억 달러에 달한다. 이러한 락빗의 활동을 저지하기 위해 지난 3월 11개국의 수사조직이 참여한 국제 공조 수사가 진행됐다. 이를 통해 락빗이 랜섬웨어 공격을 위해 사용해 온 기본 플랫폼과 중요 인프라를 중단시키거나 압수했으며 암호키도 확보한 것으로 알려졌다. 브라이언 본드란 부국장은 "락빗과 관련 조직을 제압하는 과정에서 그들이 삭제했다고 주장했던 데이터들을 여전히 보유하고 있다는 것을 확인했다"며 "이번 해독 키의 제공은 피해자들이 데이터를 되찾고 정상적인 운영으로 돌아갈 수 있도록 돕기 위한 것"이라고 설명했다. 이어서 "이번 조치는 사이버 범죄에 맞서 싸우는 지속적인 노력의 일부로 앞으로도 피해자 지원과 사이버 범죄와의 싸움을 강화할 것"이라며 "사이버 보안은 커뮤니티와의 협력이 필수적인 만큼 공격을 예방하고 대응하는 데 있어서 공동의 노력이 중요하다"고 강조했다.

2024.06.07 10:35남혁우

1분기 랜섬웨어 공격 23% 증가…보안 시스템 우회 늘어

대규모 랜섬웨어 그룹 '락빗(LockBit)'이 검거됐지만 여전히 랜섬웨어 공격은 활발하게 이뤄지고 있는 추세다. SK쉴더스(대표 홍원표)가 2024년 1분기 KARA 랜섬웨어 동향 보고서를 공개했다고 3일 밝혔다. 보고서에 따르면 지난 1분기에는 총 1,122건의 랜섬웨어 공격이 발견됐는데, 2023년 4분기(914건) 대비 23% 지난해 동기(933건) 대비 20.3% 증가한 것으로 나타났다. 1분기에 발생한 주요 공격 트렌드를 살펴보면 시스템 관리 도구를 악용하는 공격자들이 늘어났다. 기존 랜섬웨어 그룹들은 공격 대상 맞춤형 도구를 제작해 사용했지만 최근 랜섬웨어 공격자들은 탐지 우회를 위해 시스템 내부에 있는 운영 도구나 네트워크 장비 모니터링 소프트웨어를 사용하고 있는 것으로 조사됐다. 'BYOVD' 기법의 랜섬웨어 공격도 눈길을 끌었다. BYOVD란 Bring-Your-Own-Vulnerable-Driver의 약자로 합법적인 서명이 되어 있어 시스템이 정상 드라이버로 인식하지만 실제로는 공격에 취약한 드라이버를 악용하는 것을 말한다. 지난해부터 등장한 이 공격 기법은 관리자 권한보다 높은 시스템 권한을 실행할 수 있어 보안 솔루션을 쉽게 우회할 수 있다. 이처럼 합법적인 도구를 사용하거나 보안 솔루션을 우회하는 공격들이 늘어나고 있어 사용자들의 각별한 주의가 요구된다. 이 밖에도 보고서에서는 최대 규모의 랜섬웨어 그룹인 '락빗'에 대해 자세히 다뤘다. 락빗은 지난 3월 FBI의 검거에도 불구하고 새로운 공격 인프라를 구축하며 활동을 이어 나가고 있다. 이들은 이력서나 입사지원서 등으로 위장한 피싱메일을 유포하는 공격 방식을 주로 사용하는 것으로 알려졌다. 민간 랜섬웨어 대응 협의체 '카라(KARA)'는 랜섬웨어 예방, 사고 접수, 복구까지의 전 과정을 원스톱으로 대응하고 있으며 매 분기 랜섬웨어 동향 보고서를 발간하며 정보 공유 활동에 앞장서고 있다 KARA는 락빗 같이 피싱 메일이나 초기 침투에 취약점을 악용한 랜섬웨어 공격에 대비하기 위해 악성 메일 훈련, 모의 해킹, 보안 체계 점검 등의 사전 예방 활동이 무엇보다도 중요하다고 밝혔다. 랜섬웨어에 감염됐을 때에는 '랜섬웨어 특화 모의해킹', '악성메일 대응 훈련' 등의 서비스를 통해 추후 발생할 수 있는 피해를 줄여야 한다. 이외에도 주요/신규 랜섬웨어 공격 그룹에 대한 동향과 대응 방안이 담긴 2024년 1분기 KARA 랜섬웨어 동향 보고서는 SK쉴더스 홈페이지를 통해 무료로 다운로드 받을 수 있다. SK쉴더스 김병무 정보보안사업부장(부사장)은 “랜섬웨어 그룹들은 공격 기법을 최신화하며 보안 솔루션과 시스템을 회피하는 방식을 선호하고 있어 선제적인 대응 방안 마련이 시급하다”며 “SK쉴더스는 KARA 회원사들과 랜섬웨어 피해를 줄일 수 있는 보안 체계 구축과 서비스 개발에 매진하겠다”고 밝혔다. 한편, SK쉴더스는 24시간 365일 대응 가능한 '랜섬웨어 대응 센터'(1600-7028)를 운영하고 있다. '랜섬웨어 위협 사전 점검', '실시간 침입 탐지 및 차단 체계 구축', '랜섬웨어 사고 대응 및 복구' 서비스를 제공한다. 사고 이후 피해 복구, 법적 대응, 보험 가입 등의 서비스도 받아볼 수 있다.

2024.05.05 08:01남혁우

국제 공조에 폐쇄된 락빗, 활동 재개…"정부 집중 공격"

11개 수사조직의 공조로 폐쇄됐던 랜섬웨어 조직 락빗이 활동을 재개했다. 이들은 앞으로 공격 활동을 미국 연방수사국(FBI) 등 정부 조직에 집중할 것이라고 경고했다. 25일(현지시간) 비핑컴퓨터 등 외신에 따르면 사이버위협 전문 추적조직 VX-언더그라운드는 락빗이 새로운 활동을 준비 중이라고 밝혔다. VX-언더그라운드에서 공개한 내용에 따르면 이들은 새로운 다크웹 사이트로 이전하며 사이트 명을 락빗 3.0으로 변경했다. 이와 함께 그들은 공조 수사에 대응해 정부 조직을 더욱 집중적으로 공격할 것이라고 경고했다. 그들이 공개한 이미지에 현재 FBI 관련 데이터가 공개돼 있으며 아직 알려지지 않은 5개 조직의 데이터가 순차적으로 공개될 예정이다. 보안 업계에서는 락빗의 빠른 대응과 공격적인 행동은 불안감을 표출하는 것으로 보인다고 분석했다. 대규모 공격으로 인해 웹사이트가 폐쇄되고 주요 인프라가 차단됐던 만큼 기업들이 더 이상 몸값을 지불하지 않거나 락빗에서 만든 해킹툴을 다른 해킹 조직들이 사용하지 않을 우려가 있기 때문이다. VX-언더그라운드는 "락빗이 복구와 함께 남긴 긴 메시지는 훼손된 평판에 대한 신뢰성을 회복하려는 시도처럼 보인다"며 "이들은 공조 수사로 큰 타격을 입었으며 서버를 복구하더라도 다른 해킹 조직에게 신뢰를 잃을만한 충분한 이유가 생겼다"고 설명했다. 다만 일각에선 한동안 더욱 사이버보안을 강화할 것을 조언했다. 락빗이 잃은 악명을 회복하기 위해 대규모 사이버공격을 시도할 가능성이 클 것이란 분석이 제기되고 있기 때문이다.

2024.02.26 10:22남혁우

美, 세계 최대 랜섬웨어 조직 '락빗' 수장 추적…"현상금 200억"

미국 국무부가 랜섬웨어 조직 '락빗' 수장 체포를 위해 1천500만 달러(약 200억원)의 현상금을 내걸었다. 22일(현지시간) 해커뉴스 등 외신에 따르면 미국 국무부는 락빗 관련 정보제공에 대한 보상제안을 발표했다. 이번 보상 제안은 영국 국립범죄수사국(NCA) 주도로 11개국에서 공조한 락빗 저지 활동의 일환이다. 락빗 운영을 담당해온 락빗섭(LockBitSupp) 등 조직원의 신원 또는 위치 등 체포에 정보에 대해 최대 200억 원의 보상을 제공한다. 보상금은 미국 법무부에서 운영하는 다국적 조직범죄 보상 프로그램(TOCRP)을 통해 제공한다. TOCRP는 초국가적 범죄 조직을 제재하고 해체하기 위한 지원책이다. 이 프로그램은 마약 밀매를 넘어 사이버 범죄, 인신매매, 돈세탁 야생동물 밀매, 무기 및 기타 불법 상품 밀매 등의 범죄 행위를 통해 생명과 지역사회에 직접적이고 중대한 해를 끼치는 초국가적 범죄를 다룹니다. 초국가적 범죄 감소, 이를 가능하게 하는 금융 메커니즘의 붕괴, 회원 및 지도자의 체포 및/또는 유죄 판결로 이어지는 정보에 대해 최대 2천500만 달러의 보상을 제공할 수 있는 법적 권한을 국무장관에게 부여한다. 현상수배가 걸린 락빗은 전 세계를 대상으로 2천건 이상의 랜섬웨어 공격을 감행해 기업 운영 중단과 민감한 정보 파괴 또는 유출로 막대한 피해를 발생시켰다. 또한 기업들은 인질로 잡힌 데이터 등을 복구하기 위해 총 1억 4400만 달러(1천913억 원) 이상의 비용이 소비된 것으로 알려졌다.

2024.02.23 11:02남혁우

세계 최대 랜섬웨어 조직 '락빗', 11개국 수사에 '덜미'

전세계 기업에 막대한 피해를 끼친 세계 최대 랜섬웨어 조직 락빗(LockBit)이 국제 공조수사를 통해 주요 인프라가 압수되고 운영이 중단됐다. 20일(현지시간) 테크크런치 등 외신에 따르면 영국 국립범죄수사국(NCA)은 '크로노스 작전' 결과를 발표했다. 크로노스 작전은 NCA 주도로 락빗의 활동을 저지하기 위한 국제 공조 프로젝트다. 연방수사국(FBI) 외에도 호주, 캐나다, 프랑스, 핀란드, 독일, 네덜란드 등의 총 11개국의 수사조직이 참여했다. 유로폴에 따르면 이번 작전을 통해 락빗이 랜섬웨어 공격을 위해 사용해 온 기본 플랫폼과 중요 인프라를 중단시키거나 압수했다. 그들이 사용한 것으로 확인된 미국, 영국 등 34개 국가에 걸쳐 나눠져 있던 서버를 차단했으며, 피해자로부터 훔친 데이터와 이를 호스팅했던 다크웹의 유출 사이트를 압수했다. 해당 조직과 관련된 200개 이상의 암호화폐 계정도 동결했으며, 폴란드와 우크라이나에서 락빗 조직원 2명도 체포했다. 프랑스와 미국 수사조직은 측은 이들에게 3건의 국제 체포 영장과 5건의 기소장을 발부했다. 특히, 압수한 데이터를 조사하는 과정에서 1천여 개 이상의 암호 해독키를 발견한 것으로 확인됐다. 해독키는 피해 기업의 암호화된 파일 복구에 사용되는 만큼 별도 포털을 통해 공개할 예정이다. 유로폴은 이 밖에도 수사 과정에서 방대한 양의 데이터를 확보했다며 이를 범죄 활동과 관련된 국제 작전 활동에 지원할 것이라고 밝혔다. 보안 전문가들은 이번 공격이 락빗에 상당한 타격을 줬을 것으로 분석했다. 러시아 기반 범죄조직으로 알려진 만큼 락빗의 운영을 담당하는 락빗섭(LockBitSupp) 등 주요 조직원 등을 체포하기 어렵지만 글로벌 공격을 가하기 위한 주요 인프라가 무력화된 것으로 보이기 때문이다. 랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로 기업의 시스템에 침투해 주요 기능이나 데이터를 암호화해 사용할 수 없도록 만든 후 이를 풀어주는 조건으로 금전을 요구하는 사이버공격 방식을 말한다. 락빗은 전 세계적으로 가장 악명 높은 랜섬웨어 조직으로 보잉, TSMC 등 글로벌 대기업들도 이들의 공격에 피해를 받았다. 국내 기업 역시 업무 관련 문서, 데이터베이스 관련 파일 등이 이들로 인해 공개된 바 있다.

2024.02.21 10:06남혁우