새로운 랜섬웨어 '다크파워' 등장…이중협박 전략 사용

새로운 랜섬웨어인 다크파워(Dark Power)가 등장했다. 새로운 프로그래밍 언어로 제작된 랜섬웨어가 늘어날 것으로 전망돼 사용자들의 주의가 요구된다.

이스트시큐리티는 올 1분기 랜섬웨어 주요 동향을 발표하며, 새로운 랜섬웨어가 등장했다고 밝혔다. 

이스트시큐리티에 따르면 다크파워 랜섬웨어는 2월 말부터 활동하기 시작했으며, 한달도 안되는 사이에 10개의 조직들을 감염시켰다. 다크파워는 님(Nim) 프로그래밍 언어로 제작되었으며, 다른 랜섬웨어들과 마찬가지로 이중협박 전략을 사용하는 것으로 확인됐다. 

전 세계 사용자들을 대상으로 공격 중이며, 두 개의 버전으로 유포됐다. 이스트시큐리티는 "님, 러스트(Rust)와 같은 새로운 프로그래밍 언어로 제작된 랜섬웨어들은 점차 더 늘어날 것"이라고 말했다.

이외에 이스트시큐리티 시큐리티대응센터(ESRC)는 올 1분기 새로 발견됐거나 주목할 만한 랜섬웨어로 ▲ESXiArgs ▲미믹(Mimic) ▲아이스파이어(IceFire) ▲다크빗(Darkbit) ▲메두사(Medusa) ▲로렌츠(Lorenz)를 꼽았다.

ESXiArgs는 지난 2월 ESXi의 취약점(CVE-2021-21974)을 이용하여 대규모 공격을 진행한 랜섬웨어다. 해당 랜섬웨어는 손상된 ESXi 서버에서 다양한 확장자를 가진 파일을 암호화한 후 확장자를 .args로 변경하여 ESXiArgs 랜섬웨어로 명명됐다. 대규모 공격이 발생된 이후 얼마 지나지 않아 CISA가 랜섬웨어 복구 스크립트를 개발하여 공개하였지만 공격자들은 곧이어 복구 스크립트를 우회한 버전을 공개했다.

미믹은 지난해 6월 처음 발견됐다. 러시아어 및 영어 사용자를 공격대상으로 한다. 윈도용 'Everything' 파일 검색 도구의 API를 활용하여 암호화 대상 파일을 찾으며, 일부 코드가 지난해 3월 유출된 콘티(Conti) 랜섬웨어 소스와 유사한 것으로 분석됐다.

아이스파이어는 지난해 3월 등장한 이후 활동을 하다가 11월 말 이후 활동을 중단 후,올 1월 초 다시 돌아왔다. 새로 등장한 아이스파이어 랜섬웨어는 리눅스 시스템을 주요 공격대상으로 삼고 있으며, 암호화 이후 확장자를 .ifire로 변경하며 자신을 삭제하고 바이너리를 제거한다. 아이스파이어 운영자는 IBM Aspera Faspex 파일 공유 소프트웨어(CVE-2022-47986)의 역직렬화 취약점을 이용하여 랜섬웨어를 유포했다.

다크빗은 Go언어로 제작되어 있으며, 이스라엘의 유명한 교육기관인 테크니온이스라엘공과대학(IIT)을 공격했다. 랜섬노트에는 반이스라엘 및 반정부 수사 내용이 포함되어 있으며 최근 기술산업 전반에 걸친 정리해고에 대한 언급이 있어 공격자의 공격 사유는 금전적 이득 보다는 지정학적 이유라고 ESRC는 판단했다.

메두사는 2021년 6월 처음 발견되었지만 활동이 적고 희생자가 거의 없었다. 올해 활발한 활동을 시작하였으며, 랜섬머니 지불을 거부한 피해자 데이터를 유출하는 '메두사 블로그'를 시작했다. ESRC는 "많은 사람들이 메두사와 메두사라커(MedusaLocker) 랜섬웨어가 동일한 랜섬웨어라고 생각했지만, 사실 이 둘은 완전히 다른 랜섬웨어"라고 설명했다.

로렌츠는 2021년 4월 발견되었으며 전세계 조직을 공격 대상으로 삼았다. 최근 보안회사의 분석과정 중, 로렌츠 랜섬웨어를 유포하는 그룹이 시스템 내 침투해 백도어를 심은 사실이 밝혀졌다. 이후 오랜 시간 피해 시스템 내 숨어있다가 공격자의 공격 준비가 완료된 후 백도어를 통해 로렌츠 랜섬웨어를 유포한 것으로 밝혀졌다.

이밖에 이스트시큐리티는 올 1분기 랜섬웨어 주요 동향으로 ▲VMware ESXi 취약점을 이용한 대규모 랜섬웨어 공격 발생 ▲글로벌 백신업체, 랜섬웨어 복호화 툴 공개 ▲락빗(LockBit) 랜섬웨어 공격의 지속 ▲Nim 프로그래밍 언어로 제작된 랜섬웨어 발견 ▲북한 랜섬웨어 관련 한미 합동 사이버보안 권고 발표를 선정했다.

VMware ESXi는 전 세계적으로 많은 기업에서 사용중인 가상화 플랫폼으로, 해당 취약점을 이용한 대규모 랜섬웨어 공격이 발생했다. 엑시악스(ESXiArgs) 랜섬웨어는 주로 유럽 국가들을 대상으로 진행되었으며, 취약점이 패치되지 않은 ESXi 인스턴스를 공격 대상으로 삼았다. 해당 랜섬웨어는 암호화 후 파일 확장자를 ".args"로 변경하며, 피해 기업에 몸값으로 약 2만 3천달러의 비트코인을 요구하는 것으로 확인되었다.

이에 대해 프랑스 CERT는 주의를 당부하는 공지를 발표하였으며, FBI와 CISA는 복구 스크립트를 개발하여 배포하였다. 하지만 공격자들이 복구 스크립트 공개 이후 암호화 타깃으로 삼는 구성 파일의 비율을 확대하여 복구 스크립트를 무력화 시켰다.

콘티 랜섬웨어의 제작자가 제작된 것으로 추정되는 로얄(Royal) 랜섬웨어의 리눅스 버전이 발견되었다. 로얄 랜섬웨어 역시 ESXi를 공격 대상으로 하고 있으며, 파일 암호화 후 확장자를 .royal_u로 변경한다.

북한 랜섬웨어 관련해서는 한국과 미국이 합동 사이버보안 권고를 발표했다. 보안권고문에는 북한이 자체 개발한 마우이(Maui)랜섬웨어, 홀리고스트(H0lyGh0st) 랜섬웨어 등에 대한 자세한 TTPs 및 침해지표(IoC) 정보와 함께 예방 대책이 포함되어 있다.

ESRC는 "주로 국방 및 방산업체를 공격 대상으로 삼지만 다른 분야 역시 공격 표적이 될 수 있기 때문에, 기업 보안담당자들은 한미 합동 사이버보안 권고의 내용을 확인하고 적절한 보안조치를 취하여 랜섬웨어의 위협을 최소화 하도록 노력해야 한다"고 말했다.

이스트시큐리티는 올 1분기 자사 백신 프로그램 ‘알약’에 탑재돼 있는 ‘랜섬웨어 행위기반 사전 차단’ 기능을 통해 총 4만7천여건의 랜섬웨어 공격을 차단했다고 밝혔다.

관련기사

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신 프로그램의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과다.

한편, 이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있다.