2019-09-17 19:28 (화)
북한 관련 Ryuk 랜섬웨어, 기업과 데이터센터 등 피해 커
상태바
북한 관련 Ryuk 랜섬웨어, 기업과 데이터센터 등 피해 커
  • hsk 기자
  • 승인 2018.08.27 00:10
이 기사를 공유합니다

공격자들, 현재 64만달러 이상 벌어...라자루스 APT 그룹과 관련 멀웨어와도 연관

aa-2.jpg
보안 전문가들이 북한과 연관이 있는 조직이 수행한 랜섬웨어 캠페인을 발견했다. 잘 계획돼 수행된 이 캠페인은 여러 기업을 타깃으로 하며 감염된 회사의 수백대 PC, 저장소, 데이터센터를 암호화했다.

일부 조직은 암호화된 파일을 복구하기 위해 매우 큰 몸값을 지불했고, 체크포인트 연구원들은 피해를 입은 사용자들이 일반적으로 15BTC에서 50BTC 사이의 금액을 지불했음을 확인했다.

미국을 포함해 전세계 최소 3개 조직이 심각하게 영향을 받았고, 공격자들은 현재까지 64만달러 이상을 벌어들인 것으로 추정된다. 해당 공격에 사용된 악성코드는 Ryuk 랜섬웨어로, 라자루스 APT 그룹과 관련된 Hermes 멀웨어와도 연관되어 있는 것으로 추정된다.

체크포인트는 분석글을 통해 “흥미롭게도 이번 연구를 통해 Ryuk 캠페인의 본질과 Hermes 랜섬웨어의 내부 활동 일부를 파악할 수 있게 됐다. Hermes 랜섬웨어는 북한 APT 라자루스 그룹과 연관되어 있으며 거대한 타깃형 공격에서도 사용됐다.”고 말했다. 또한 “현재 Ryuk을 활용한 타깃형 공격이 Hermes 운영자, 북한 단체 또는 소스코드를 얻은 공격자들의 소행일 수 있다고 생각된다”고 덧붙였다.

Hermes 랜섬웨어는 2017년 10월에 대만의 극동국제은행(FEIB)에 대한 공격을 통해 처음 발견되었다. 물론 다른 공격자가 Hermes 소스 코드를 소유해 Ryuk 랜섬웨어를 개발하는데 사용했을 가능성도 제외할 수는 없다.

전문가들은 “대량의 스팸성 캠페인과 익스플로잇 키트를 통해 배포되는 일반적인 랜섬웨어들과 달리, Ryuk은 맞춤형 공격에만 사용된다. 실제로 암호화 체계가 소규모 작전을 목적으로 구축되었다. 공격 대상자가 수동으로 감염 및 배포를 수행해, 타깃이 된 네트워크에서 주요 자산과 리소스만 감염되는 것이다”라고 언급하며, Ryuk 랜섬웨어의 암호화 체계가 소규모 작전을 위해 특별히 제작되었음을 강조한다.

연구원들은 또한 Ryuk 코드에서 구현된 암호화 로직과 Hermes 랜섬웨어에서 사용되는 암호화 로직간의 많은 유사점을 발견했다. 분석 과정에서 이들이 똑같은 드로퍼를 사용한다는 것을 발견한 것이다.

Ryuk 랜섬웨어가 몇초간 Sleep을 수행하면 특정 인수로 실행이 되었는지 확인한 다음, 안티바이러스, 데이터베이스, 백업, 문서 편집 소프트웨어 등 40개 이상 프로세스와 180개 이상 서비스를 종료시킨다. 해당 랜섬웨어는 사용자가 파일을 복구하지 못하도록 암호화 키를 파괴하고 복사본과 다양한 백업 파일을 디스크에서 삭제한다.

전문가들이 분석한 거의 모든 Ryuk 랜섬웨어 샘플에는 고유한 지갑이 제공된다. 피해를 입은 사용자가 비용을 지불하면 공격자는 이 자금을 여러 계정으로 나누어 전송한다. 익스플로잇 단계부터 암호화 과정, 비용 지불을 요구하기까지 조심스럽게 수행되는 Ryuk 캠페인은 타깃으로 한 기업들이 많은 돈을 지불하도록 만드는 것이 목표이다.

한편 오는 9월 10일 국내 최고 정보보안 분석가들의 사이버위협 인텔리전스 정보 공유의 장 'K-ISI 2018 대한민국 정보보호 인텔리전스 컨퍼런스'가 한국과학기술회관 국제회의실에서 정부, 공공, 금융, 대기업 보안실무자 등 300명 이상이 참석한 가운데 개최된다. 이 자리에서 이스트시큐리티 ESRC 문종현 이사의 '정부지원 추정 해커의 APT 공격 사례 연구' 발표도 있을 예정이다.

-K-ISI 2018 사전등록: http://conf.dailysecu.com/conference/k-isi/2018.html

★정보보안 대표 미디어 데일리시큐!★