2024년 9월 랜섬웨어 피해 사례는 지난 8월(464건)에 비해 약 13% 감소한 406건을 기록했다. 소폭 감소했지만, 9월에도 여전히 국내 피해 사례가 다수 확인됐다.

9월 초, LockBit 랜섬웨어는 국내 타이어 제조 회사를 공격해 공장 가동을 중단시켰다. 이들은 다크웹 유출 사이트에 재무제표와 계산서 등을 샘플 데이터로 업로드했고, 10월에는 탈취한 모든 데이터를 공개한다며 추가 협박하고 있다.

다크웹, 텔레그램, 해킹 포럼에서 국내 데이터 판매 글과 데이터 공개 협박 글이 확인됐다. 해커 그룹 CyberNiggers에서 활동하는 IntelBroker는 해킹 포럼 BreachForums에 국내 바이오테크 스타트업 기업 데이터를 유출했다. 공개된 데이터는 Admin 페이지 코드와 각종 서버 및 데이터베이스 코드가 포함되어 있다.

텔레그램에서 활동하는 인도네시아 해커 그룹 Anon Black Flag(Palu Anon Cyber)는 인도네시아 내 한국 노동자들이 인도네시아와 이슬람에 대한 인종 차별을 저질렀다고 주장하며, 한국 경찰청과 외교부 데이터를 공개했다. 하지만 해당 데이터는 실제 유출 데이터가 아닌 공공데이터 포털의 공개 자료인 것으로 확인됐다.

9월에는 여러 해커 그룹의 활동 재개, 리브랜딩 소식이 다수 확인됐다. 9월 24일, 지난 8월 국내 DevOps 기업을 공격한 El dorado 랜섬웨어 그룹이 BlackLock으로 그룹명을 변경했다. 5월에 처음 등장한 Arcus 랜섬웨어 그룹은 7월부터 활동을 중단했다가 9월에 재개했다. Arcus 랜섬웨어 그룹은 다크웹 유출 사이트 공지를 통해 활동의 중단은 내부 인프라 재구성 때문이었다고 밝히며, 계열사 모집 기준과 방식을 추가 공지하며 활발한 활동을 예고했다. 신규 그룹 InvaderX는 본격적인 활동을 위해 러시아 해킹 포럼 RAMP에서 파트너 모집 글을 업로드했다. 이들은 모집 글에서 CIS, BRICs는 공격 대상에서 제외하고 Windows, ESXi 버전의 랜섬웨어를 공격에 사용할 뿐만 아니라 DDoS 공격도 가능하다고 밝혔다.

Akira 그룹은 랜섬웨어 공격에 네트워크 보안 운영체제의 최신 취약점을 악용한 것으로 드러났다. 취약점은 미국 네트워크 보안 회사 SonicWall의 네트워크 보안 운영체제 Sonic OS에서 발생한 취약점 CVE-2024-40766이다. 이를 악용하면 네트워크 자원에 무단 접근이 가능하고, 방화벽 충돌을 발생시켜 네트워크 보호 기능을 무력화시킬 수 있다. 해당 취약점은 8월 22일 패치됐지만, 최근 Akira 랜섬웨어 그룹이 SonicWall 네트워크 장치의 계정을 손상시키고 무단으로 네트워크에 접근한 정황이 발견됐다.

최근 BianLian, Rhysida 랜섬웨어 그룹이 Microsoft의 클라우드 서비스인 Azure의 데이터 전송 도구들을 활용해 대규모 데이터를 유출한 것으로 확인됐다. 사용한 도구는 Azure용 그래픽 관리 도구인 Azure Storage Explorer와 명령줄 유틸리티 AzCopy다. 탈취한 데이터를 컨테이너에 업로드하고, 두 도구를 활용해 다른 저장소로 쉽게 전송하는 식이다. 자체적으로 제작한 데이터 탈취 도구와 달리 Azure는 기업에서 많이 사용하는 정상적인 솔루션으로, 탐지 회피를 위해 악용된 사례다.

사이버 범죄 조직들은 암호화된 메시지를 전송하는 메신저 텔레그램을 주로 활용하고 있다. 메시지 암호화로 대화 내용이 노출되지 않으며 IP와 연락처 등 사용자의 개인정보를 공개하지 않는다는 점 때문에 범죄에 주로 활용되기도 한다. 하지만 9월 24일 텔레그램 개인정보 보호 정책이 업데이트됨에 따라, 범죄에 연루되거나 서비스 약관을 어기는 경우 IP와 계정에 연동된 전화번호를 법 집행 기관에 제공하게 됐다. 따라서 텔레그램에서 주로 활동하는 사이버 범죄 조직들은 텔레그램 활동을 중단하거나 다른 플랫폼으로 옮길 준비를 하는 등 여러 움직임이 포착되고 있다.

9월에는 지난달에 비해 새로운 위협이 증가했다. 기존에 활동하던 El Dorado 그룹이 BlackLock이라는 이름으로 리브랜딩 했고, 그 외에도 신규 랜섬웨어 그룹이 다수 발견됐다. 9월 10일, Valencia 그룹이 등장해 총 5건의 피해자를 게시했다. 9월 16일에는 Orca 랜섬웨어 그룹이 등장해 터키와 중국의 제조업체 2건을 피해자로 게시했다. 이후 별다른 활동이 확인되지 않았고, 9월 25일부터는 다크웹 유출 페이지에 접속할 수 없는 상태다.

랜섬웨어를 서비스 형태로 판매하는 신규 RaaS가 발견됐다. ContFR 그룹은 PDF를 통해 전파하는 Windows, MacOS 랜섬웨어를 기능까지 구분해서 판매하고 있다. Windows, Linux 버전에 비해 상대적으로 드물게 나타나는 MacOS 버전의 랜섬웨어를 사용한다는 특징이 있다. 다만, 랜섬웨어 서비스의 진위 여부는 확인되지 않았다. 판매하는 서비스는 총 3개다. TEST 버전은 30일 동안 사용, 1회 수정이 가능한 랜섬웨어로 400유로(한화 약 58만 원)에 판매하고 있다. BASIC 버전은 6개월 동안 사용, 10개의 랜섬웨어 변종과 오프라인에서도 동작하는 기능이 추가됐고, 1,200 유로(한화 약 175만 원)에 판매하고 있다. ELITE 버전은 1년 동안 사용, 변종을 무제한으로 만들 수 있고 채팅 지원 기능이 추가된 서비스로 2,200유로(한화 약 320만 원)에 판매하고 있다.

Osyolorz Collective라는 신규 조직도 발견됐다. 자신들을 사이버 테러리스트라고 소개하고, 유럽과 관련된 15개 주요 국가 대상으로 정부 기관, 금융 기관 등의 민감 데이터를 공개하는 것이 목적이라고 밝혔다. 호주, 벨기에, 체코, 덴마크, 핀란드, 프랑스, 독일, 그리스, 아일랜드, 이탈리아, 룩셈부르크, 네덜란드, 폴란드, 스페인, 스웨덴이 포함되어 있다. 피싱 메일 등 사회 공학 기법은 물론, 취약점 활용과 자체적으로 제작한 악성 코드를 활용해 데이터를 탈취한다고 주장한다. 또한 Doxing, SNS 계정 삭제, 접근 권한 획득, 금융 정보 탈취, 침투 테스트 등 각종 서비스도 판매 중이고, 홈페이지에 서비스별 금액도 기재되어 있다.

RansomHub 그룹은 9월 전체 랜섬웨어 피해자의 19%에 해당하는 피해자를 게시했다. 최근 RansomHub는 EDR 솔루션을 비활성화하기 위해 러시아 보안회사 Kaspersky의 루트킷 및 부트킷 탐지 도구인 TDSSKiller를 사용한 정황이 발견됐다. 유효한 인증서로 서명된 합법적인 도구이기 때문에 악성 행위가 탐지될 가능성이 작다는 점을 이용했고, 특정 서비스를 제거하는 명령어 “-dcsvc”를 이용해 보안 솔루션 서비스를 비활성화했다. 합법적인 도구를 활용해 보안 서비스를 비활성화할 수 없도록 EDR솔루션에서 변조 방지 기능을 활용하거나 “-dcsvc” 플래그 사용을 모니터링하는 등 적절한 조치가 필요하다.

Play 그룹은 미국 소재의 기업을 집중적으로 공격하는 모습을 보인다. 9월에는 미국 도소매 공급 업체 협동조합 Piggly Wiggly Alabama Distributing Company의 예산 세부 정보, 급여 기록, 고객 문서 및 재무 정보 등을 포함한 103GB 크기의 데이터를 탈취했다고 주장했고, 9월 15일 모든 데이터를 공개했다. 해당 기업은 지난 2022년 5월에도 BlackBasta 그룹에 의해 탈취된 데이터가 공개된 적 있다.

Medusa 그룹은 9월 17일 다국적 계약 식품 서비스 회사인 Compass Group의 호주 지사를 공격해 약 800GB에 달하는 데이터를 탈취했다. 함께 공개된 샘플 데이터에 따르면, 직원 신분증, 여권 사본, 운전 면허증, 메일 등 개인정보는 물론 급여 명세서 등 내부 문서도 다수 포함되어 있다. Medusa 그룹은 Compass Group의 보안 담당자가 몸값을 지불하지 않고, 보안 솔루션을 사용해 접근하지 못하게 시도했다는 이유로 9월 19일 2차 공격을 통해 추가 데이터를 공개했다.

Qilin 그룹은 9월에 미국 디트로이트 지역의 비상업적 공영 방송을 제공하는 Detroit PBS를 공격해 약 600GB에 달하는 데이터를 탈취했다. 현재 샘플 데이터만 공개됐는데 계산서, 미수금 보고서와 같은 금융 데이터와 내부 문서가 포함되어 있다.

Meow 그룹은 이스라엘 국방군(IDF)과 이스라엘 정보기관 모사드(Mossad)의 데이터를 탈취해 게시했다. 군인 및 정보 요원의 여권 사본, 개인 정보, 군 내부 문서 등이 포함된 데이터를 2만 달러(한화 약 2,600 만 원)에 판매하고 있다.

CyberVolk 그룹은 올해 3월 GLORIAMIST INDIA라는 이름으로 먼저 텔레그램에서 활동을 시작했다. 동일한 이름을 가진 GLORIAMIST 라는 핵티비스트 그룹이 작년 12월부터 텔레그램을 통해 활동했는데, 파트너로서 활동을 시작한 것으로 알려졌다. 팔레스타인을 지지하는 GLORIAMIST INDIA는 정치적으로 연관된 국가의 기업을 대상으로 주로 DDoS 공격을 감행하는 모습을 보였다.

6월 초, GLORIAMIST의 설립자 DeathHack(Patcher)이 체포되었을 수도 있다는 텔레그램 메시지가 게시됐고, GLORIAMIST와 GLORIAMIST INDIA는 6월 6일부터 활동을 중단했다. 17일 뒤 재개에 나선 GLORIAMIST INDIA는 새로운 그룹명을 위해 투표를 실시했다. 해당 투표를 통해 CyberVolk라는 이름이 채택됐다. 여전히 팔레스타인을 지지하는 CyberVolk는 DDoS 공격을 중점적으로 기존의 핵티비스트 활동을 이어 나가고 있다.

그림 8. CyberVolk 랜섬웨어 판매 글(좌: 초기 버전, 우: 최신 버전)

7월 1일부터 텔레그램에서 랜섬웨어 판매도 시작했다. 초기 버전 판매 시작 9일 뒤인 10일부터는 암호화 알고리즘과 확장자를 변경한 최신 버전을 판매했다. 최신 버전에서는 랜섬웨어에 양자 저항 알고리즘을 사용하기 시작했는데, CyberVolk 그룹은 이 때문에 파일을 임의로 복구하는 것이 불가능하고, 올바른 키가 입력되지 않을 경우(키에 대한 유효성 검증 없이 36자가 입력되지 않으면) 모든 파일이 0KB로 변할 것이라고 밝혔다.

9월 23일, 정보 탈취 도구인 CyberVolk StealerV1을 판매하기 시작했다. 해당 Stealer는 스팀, 디스코드 등 소프트웨어 정보, 브라우저 데이터, 암호 화폐 지갑 정보는 물론 시스템 정보 탈취 기능까지 보유하고 있다. 해당 악성코드는 소스코드 형태로 1,000달러(한화 약 130만 원)에 판매되고 있다.

CyberVolk 랜섬웨어는 하드코딩된 비트맵 파일을 이용해 바탕화면 변경부터 진행한다. 시스템에 설정된 환경변수로 임시 폴더의 경로를 확인하고, 해당 경로에 “tmp.bmp”라는 이름의 비트맵 파일을 저장한다. 사용하는 비트맵 파일은 아래 그림과 같다.

바탕화면을 변경한 뒤 사용자가 상호작용을 할 수 있는 Windows 팝업 창 Dialog Box를 생성한다. 팝업 창에는 CyberVolk 그룹에 대한 소개, 연락처, 암호화폐 지갑 주소를 첨부해 사용자에게 1,000달러(한화 약 130만 원)를 송금하도록 요구한다. 또, 복호화 키를 입력할 수 있는 텍스트박스가 존재하고, 5시간 카운트다운 타이머를 표기해 압박감을 느끼도록 만든다.