악명 높은 카바낙(Carbanak) 뱅킹 멀웨어가 새로운 랜섬웨어 전술로 무장하고 전 세계적으로 사이버 위협을 가하고 있어 각별한 주의가 요구된다.

사이버 보안 기업 NCC 그룹은 최근 분석을 통해 이 멀웨어의 적응을 조명하고 공격에 대한 정교하고 다양한 접근 방식을 밝혀냈다.

2014년 처음 발견된 카바낙은 데이터 유출 및 원격 제어 기능으로 악명이 높았다. 주로 FIN7 사이버 범죄 조직에서 사용되었다. 하지만 최근의 연구 결과에 따르면 카바낙의 수법이 크게 진화한 것으로 나타났다.

2023년 11월 랜섬웨어 공격에 대한 NCC 그룹의 분석에 따르면, 카바낙은 새로운 유포 경로를 통해 다시 등장했으며, 이제는 손상된 웹사이트를 활용해 널리 사용되는 비즈니스 관련 소프트웨어를 사칭하고 있는 것으로 조사됐다.

카바낙의 최근 공격은 HubSpot, Veeam, Xero와 같은 인기 있는 비즈니스 도구로 위장하는 방식을 사용한다. 이 전략은 사용자가 악의적인 의도를 파악하기 어렵게 교란한다. NCC 그룹의 보고서는 손상된 웹사이트가 합법적인 유틸리티로 위장하여 악성 인스톨러 파일을 전략적으로 호스팅하고 있다고 강조한다. 이러한 파일이 실행되면 카바낙이 배포되기 시작해 의심하지 않는 피해자에게 큰 피해를 입힐 수 있다.

보고서에 따르면, 11월에만 442건의 랜섬웨어 사고가 발생했으며, 이는 2023년 10월의 341건보다 눈에 띄게 증가한 수치다. 올해 누적 사고 건수는 4천건을 돌파하여 2021년과 2022년 사고를 합한 건수에 육박하고 있다.

NCC 그룹의 데이터에 따르면, 랜섬웨어 공격은 산업 부문(33%), 소비재(18%), 헬스케어(11%)가 주요 타깃이 된 것으로 나타났다. 지역적으로는 북미(50%), 유럽(30%), 아시아(10%)가 공격의 중심이 되었다.

이러한 급증에 기여한 주요 랜섬웨어 계열 중 LockBit, BlackCat, Play가 전체 공격의 47%를 차지했다. 특히, 최근 수사기관이 블랙캣을 해체하면서 향후 랜섬웨어 조직의 활동이 어떻게 전개될지 주의 깊게 살펴야 한다.

한편 랜섬웨어 전술의 변화는 QBot의 쇠퇴로 더욱 두드러진다. 법 집행 기관이 QBot의 인프라를 차단하자 랜섬웨어 그룹은 수법을 다양화하기 시작했다. 사이버 보험사 코버스는 11월에 484명의 새로운 랜섬웨어 피해자가 발생했다고 발표했다. 즉 랜섬웨어 공격조직들이 회복력과 적응력을 보여주고 있다는 것이다.

위협 그룹을 해체하려는 노력에도 불구하고, 최근 마이크로소프트가 QBot을 배포하는 소량 피싱 캠페인에 대해 공개한 내용을 보면 이러한 사이버 위협을 완전히 근절하는 것이 얼마나 어려운 일인지 잘 보여준다.

윈도우 공통 로그 파일 시스템(CLFS) 드라이버의 보안 취약점을 악용하는 아키라 랜섬웨어에 대한 카스퍼스키의 발표는 강력한 사이버 보안 조치의 필요성을 더욱 강조하고 있다. 권한 상승을 위해 CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252를 악용한 사례는 사이버 범죄자와 보안 전문가 간의 치열한 사이버 공방전이 이루어지고 있다는 것을 알 수 있다.

연말연시 랜섬웨어는 더욱 증가할 것이고 2024년에도 계속 증가할 것이라고 전문가들은 말한다. 사전 예방적 사이버 보안 조치가 필요하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★