미국 사이버 보안 및 인프라 보안국(CISA), 연방 수사국(FBI)는 협업을 통해 점점 더 널리 퍼지고 있는 Rhysida(리시다) 랜섬웨어의 위협에 대해 심각한 주의보를 발령했다. 이 경고는 다양한 산업 부문의 조직을 표적으로 삼아 공격하는 이 그룹에 대한 경각심을 높이기 위한 목적이다.

Rhysida는 서비스형 랜섬웨어(RaaS) 모델로 운영되며, 교육, 제조, 정보 기술 및 정부 기관을 감염시키는 것으로 알려졌다. 특히, 리시다에 지불된 몸값은 이 범죄조직의 핵심 그룹과 계열사로 분배되고 있다.

이 그룹의 공격 방법은 가상 사설망(VPN), 제로데이 취약점(CVE-2020-1472), 피싱 캠페인 등 외부를 향한 원격 서비스를 악용하는 것으로 조사됐다. 이러한 수법은 표적 네트워크 내에서 초기 액세스 권한을 획득하고 지속성을 확보하기 위해 사용된다.

2023년 5월에 처음 발견된 Rhysida는 악명 높은 이중 갈취 전략을 사용해 피해 데이터의 암호 해독을 위해 몸값을 요구하는 동시에 몸값을 즉시 지불하지 않으면 유출된 데이터를 공개하겠다고 협박하는 방식이다.

Rhysida의 활동에서 두드러지는 특징은 Storm-0832 또는 Vanilla Tempest로 알려진 다른 랜섬웨어 조직인 Vice Society와 유사하다는 점이다. 이러한 유사성은 타깃팅 패턴과 NTDSUtil 및 PortStarter와 같은 특정 도구의 사용으로 확장된다.

사이버 보안 업체 멀웨어바이츠(Malwarebytes)가 수집한 데이터에 따르면, 2023년 10월에 5명의 피해자가 발생했으며, 이는 LockBit, NoEscape, PLAY, ALPHV/BlackCat, 8BASE와 같은 다른 유명 랜섬웨어 변종에 이어 두 번째로 많은 피해자를 발생시킨 것으로 알려졌다.

보안전문가들은 이 그룹이 측면 이동을 용이하게 하고 VPN 액세스를 설정하기 위해 LotL(Living-off-the-land) 기술을 능숙하게 사용하고 있다고 경고했다. 특히 이러한 전략을 통해 Rhysida는 합법적인 윈도우 시스템 및 네트워크 활동과 원활하게 혼합되어 탐지를 회피할 수 있어 위험하다.

한편, 블랙캣 랜섬웨어 조직은 별도의 사이버 보안 개발에서 기업과 공공 기관을 표적으로 삼기 위해 니트로겐 멀웨어가 포함된 구글 광고를 사용하는 독특한 전술을 채택한 것으로 알려졌다. 보안 업체 eSentire는 이러한 공격의 배후에 있는 계열사가 인기 소프트웨어를 홍보하는 Google 광고를 활용하여 비즈니스 전문가를 공격자가 제어하는 웹사이트로 유인한다고 지적한다.

올해 60개의 활동 중인 랜섬웨어 그룹 중 29개 그룹이 활동을 시작하는 등 랜섬웨어 환경이 계속 진화하고 있는 가운데, 랜섬웨어 그룹들이 상호 협력하고 있어 향후 더욱 주의해야 할 상황이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★