시스코 탈로스(Cisco Talos)는 네덜란드 법 집행 기관과 협력해 악명 높은 바북(Babuk) 랜섬웨어의 토르티야(Tortilla) 변종에 대한 암호 해독기를 발표했다.

바북 랜섬웨어의 일종인 토르티야 랜섬웨어는 2021년 11월에 처음 발견됐다. 이 랜섬웨어는 마이크로소프트 익스체인지 서버의 취약점을 악용, 프록시셸의 결함을 이용해 피해자의 시스템에 침투해 파일을 암호화하고 몸값을 지불할 것을 요구했다.

암호 해독 작업은 시스코 탈로스가 네덜란드 법 집행 기관과 공유한 위협 인텔리전스 덕분에 가능했다. 이 협력을 통해 바북 토르티야 작전의 배후를 파악하고 위협 행위자를 체포할 수 있었다.

이 작전에서 확보한 암호화 키는 랜섬웨어 대응 전문 기업으로 알려진 사이버 보안 기업 어베스트(Avast)와 공유되었다. 어베스트는 2021년 9월에 바북 랜섬웨어의 소스코드가 유출된 후 암호 해독기를 배포한 바 있다. 새로 업데이트된 암호 해독기는 이제 토르티야 변종에 대한 키를 통합해 모든 바북 캠페인 피해자에게 범용 솔루션을 제공할 수 있게 됐다.

어베스트는 "토르티야 랜섬웨어에 피해를 입은 모든 기관과 개인은 이 암호 해독기를 사용해 파일을 해독할 수 있다”고 전했다.

시스코 탈로스, 네덜란드 법 집행 기관 및 어베스트의 협력은 사이버 보안 환경에서 정보 공유가 얼마나 중요한지 보여준 좋은 사례다.

그러나 랜섬웨어와의 전쟁은 현재 진행 중이며, 다양한 위협 행위자들이 지속적으로 전술을 조정하고 발전시키고 있다. 최근 블랙 바스타 랜섬웨어의 출현으로 인해 독일 사이버 보안 기업 SRLabs도 블랙 바스타 암호 해독기를 발표한 바 있다.

SRLabs는 블랙 바스타의 암호화 약점을 발견해 파일 크기에 따라 부분 또는 전체 복구를 가능하게 했다.

2021년에 유출된 바북 랜섬웨어의 소스코드는 루크, 나이트 스카이, 판도라, 노코야와, 치어크립트, 아스트라락커 2.0, ESXiArgs, 로르샤흐, RTM 락커, RA 그룹 등 여러 변종을 낳았다는 점에 유의해야 한다. 이러한 확산은 위협 공격자들이 전문 지식이 부족하더라도 공유 리소스를 활용해 랜섬웨어를 제작하고 배포하는 추세가 증가하고 있음을 알 수 있다.

또한 센티넬랩스(SentinelLabs) 최근 연구에 따르면, 유출된 바북 소스코드를 기반으로 VMware ESXi 락커를 사용하는 여러 랜섬웨어 패밀리가 확인되었다. 이러한 제품군에는 Babuk 2023, Play(.FinDom), Mario(.emario), Conti POC(.conti), REvil 일명 Revix(.rhkrc), Cylance 랜섬웨어, Dataf Locker, Rorschach 일명 BabLock, Lock4 및 RTM Locker가 포함된다.

센티넬랩스는 서로 다른 랜섬웨어 계열의 코드베이스가 겹치는 등 랜섬웨어 위협 행위자들이 상호 정보 공유와 협업으로 지속적인 변종을 개발하고 있다고 경고했다.

랜섬웨어 변종에 대한 암호 해독기가 공개된 것은 긍정적인 진전이지만, 사이버 보안 커뮤니티는 진화하는 위협에 맞서 경계를 늦추지 않고 국제 협력, 위협 인텔리전스 공유를 통해 사이버 범죄에 대한 강력한 방어 전선을 구축해야 한다.

이에 데일리시큐는 오는 2월 6일 국내 최대 사이버 위협 인텔리전스 컨퍼런스를 개최한다. 강연 및 전시부스 참가를 희망하는 국내외 보안기업은 데일리시큐로 문의하면 되고, 참석을 희망하는 현업 보안담당자는 사전등록을 통해 무료참석할 수 있고 7시간 참석확인증도 받을 수 있다.

◆K-CTI 2024 사전등록: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★