조심스러운 공격 이어가고 있어...사법부의 현상금이 걸린 상태라는 것 의식하고 있는 듯
[보안뉴스 문가용 기자] 드리덱스(Dridex)라는 유명 멀웨어를 퍼트리는 것으로 알려진 공격 단체 에빌 코프(Evil Corp)가 최근 새로운 랜섬웨어를 개발한 것으로 보인다. 이들은 이전에 비트페이머(BitPaymer)라는 랜섬웨어도 개발해 사용해온 것으로 알려져 있으며, 이런 경험을 바탕으로 새로운 무기를 만든 것으로 보인다. 새 랜섬웨어의 이름은 웨이스티드락커(WastedLocker)다.
[이미지 = utoimage]
에빌 코프는 수년 째 활동하고 있는 사이버 범죄 단체로, TA505라고도 불린다. 금전적인 소득을 위해서 공격하며, 러시아가 근거지인 것으로 알려져 있다. 드리덱스란 멀웨어를 개발한 것으로 가장 유명하며, 최근에는 비트페이머라는 랜섬웨어를 유행시키기도 했다. 현재 여러 나라의 경찰과 사법 기관들이 에빌 코프의 뒤를 좇고 있는데, 아직까지 공개된 성과는 없다. 다만 미국 사법부가 지난 해 12월 일부 용의자에게 현상금을 건 정도가 전부다.
드리덱스를 통해 에빌 코프는 40개국이 넘는 나라의 은행 300군데에서 각종 크리덴셜을 훔쳐내는 데 성공했고, 이를 통해 최소 1억 달러의 수익을 올린 것으로 알려져 있다. 드리덱스 자체는 뱅킹 멀웨어로서 출발했으나, 여러 번의 계발 과정을 거쳐 현재는 추가 멀웨어를 드롭시키는 로더로서 더 많이 활용되고 있다. 여러 나라 금융권에서 가장 주요한 위협 중 하나로 꼽히고 있다.
12월 현상금이 걸리면서 잠시 주춤했던 에빌 코프는 올해 1월부터 왕성하게 활동을 벌이기 시작했다. 그러면서 이전에는 한 번도 목격되지 않았던 랜섬웨어가 활용되는 모습이 목격되었는데, 그것이 바로 웨이스티드락커다. 비트페이머를 제작해본 자들이라 그런지 비슷한 면모도 있지만 차이점도 존재하며, 이전보다 훨씬 조심스럽게 랜섬웨어 공격을 실시하고 있다고 한다.
이런 에빌 코프와 이들의 새로운 무기에 대해 발표한 건 보안 업체 NCC그룹(NCC Group)이다. 이들은 보고서를 통해 “파일 서버, 데이터베이스, 가상기계, 클라우드 환경을 주로 타격하기 위해 애쓴다”고 하며 “백업 애플리케이션이나 인프라에 대한 공격도 가능할 것으로 보인다”고 설명했다. 피해자가 도망갈 구멍을 최대한 막아둔다는 뜻이다. 비트페이머가 큰 성공을 거두지 못했는데, 대신 교훈을 단단히 받은 듯하다.
웨이스티드락커는 기존 랜섬웨어들과는 다르게 암호화 할 파일들의 목록(보통 확장자가 목록화 되어 있다)을 내포하고 있지 않다. 다만 공격하지 말아야 할 디렉토리와 파일들의 목록이 존재한다. NCC그룹에 따르면 실행파일, 바이너리, DLL 등은 건드리지 않는다고 한다. 또한 피해자들에게 받아낼 금액이 협박 편지에 정확히 명시되어 있지 않다. 거래할 의사가 있으면 이메일을 보내라며 메일 주소만 제공할 뿐이다.
최근 랜섬웨어 공격자들은 파일을 암호화 하기 전에 정보를 미리 빼내고, 이를 통해 협박의 수위를 높이는 전략을 사용하고 있는데 에빌 코프는 이 유행을 따르지 않는 것으로 보인다. NCC그룹은 “이미 현상금이 걸려 있는 마당에, 사법 기관의 관심을 더 끌지 않으려는 것 같다”고 추측한다. “고급 기술을 갖춘 실력자들로 구성된 팀입니다. 단기적으로 급하게 돈을 벌려고 하지 않아도 된다는 거죠. 보통 실력에 자신 없는 공격자들이 급하게 서두르다가 경찰의 눈에 걸려 체포당합니다. 실력이 뒷받침 될수록 장기적인 안목을 가지고 공격을 실시하죠. 에빌 코프는 서두르지 않는 모습을 많이 보여줍니다.”
3줄 요약
1. 드리덱스 운영하던 에빌 코프, 웨이스티드락커라는 새 랜섬웨어 개발.
2. 웨이스티드락커의 핵심은 ‘조심스러운 운영.’ 수사망 벗어나려는 듯.
3. 수준 높은 실력 갖춘 그룹이라서 그런지 단기 이익에 연연하는 모습 보이지 않음.
[국제부 문가용 기자(globoan@boannews.com)]
저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
June 25, 2020 at 11:39AM
https://ift.tt/3fV7wHH
보안뉴스 - 보안뉴스
https://ift.tt/2MWC3IF
No comments:
Post a Comment