2024년 9월 랜섬웨어 피해 사례는 지난 8월(464건)에 비해 약 13% 감소한 406건을 기록했다. 소폭 감소했지만, 9월에도 여전히 국내 피해 사례가 다수 확인됐다.

9월 초, LockBit 랜섬웨어는 국내 타이어 제조 회사를 공격해 공장 가동을 중단시켰다. 이들은 다크웹 유출 사이트에 재무제표와 계산서 등을 샘플 데이터로 업로드했고, 10월에는 탈취한 모든 데이터를 공개한다며 추가 협박하고 있다.

다크웹, 텔레그램, 해킹 포럼에서 국내 데이터 판매 글과 데이터 공개 협박 글이 확인됐다. 해커 그룹 CyberNiggers에서 활동하는 IntelBroker는 해킹 포럼 BreachForums에 국내 바이오테크 스타트업 기업 데이터를 유출했다. 공개된 데이터는 Admin 페이지 코드와 각종 서버 및 데이터베이스 코드가 포함되어 있다.

텔레그램에서 활동하는 인도네시아 해커 그룹 Anon Black Flag(Palu Anon Cyber)는 인도네시아 내 한국 노동자들이 인도네시아와 이슬람에 대한 인종 차별을 저질렀다고 주장하며, 한국 경찰청과 외교부 데이터를 공개했다. 하지만 해당 데이터는 실제 유출 데이터가 아닌 공공데이터 포털의 공개 자료인 것으로 확인됐다.

9월에는 여러 해커 그룹의 활동 재개, 리브랜딩 소식이 다수 확인됐다. 9월 24일, 지난 8월 국내 DevOps 기업을 공격한 El dorado 랜섬웨어 그룹이 BlackLock으로 그룹명을 변경했다. 5월에 처음 등장한 Arcus 랜섬웨어 그룹은 7월부터 활동을 중단했다가 9월에 재개했다. Arcus 랜섬웨어 그룹은 다크웹 유출 사이트 공지를 통해 활동의 중단은 내부 인프라 재구성 때문이었다고 밝히며, 계열사 모집 기준과 방식을 추가 공지하며 활발한 활동을 예고했다. 신규 그룹 InvaderX는 본격적인 활동을 위해 러시아 해킹 포럼 RAMP에서 파트너 모집 글을 업로드했다. 이들은 모집 글에서 CIS, BRICs는 공격 대상에서 제외하고 Windows, ESXi 버전의 랜섬웨어를 공격에 사용할 뿐만 아니라 DDoS 공격도 가능하다고 밝혔다.

Akira 그룹은 랜섬웨어 공격에 네트워크 보안 운영체제의 최신 취약점을 악용한 것으로 드러났다. 취약점은 미국 네트워크 보안 회사 SonicWall의 네트워크 보안 운영체제 Sonic OS에서 발생한 취약점 CVE-2024-40766이다. 이를 악용하면 네트워크 자원에 무단 접근이 가능하고, 방화벽 충돌을 발생시켜 네트워크 보호 기능을 무력화시킬 수 있다. 해당 취약점은 8월 22일 패치됐지만, 최근 Akira 랜섬웨어 그룹이 SonicWall 네트워크 장치의 계정을 손상시키고 무단으로 네트워크에 접근한 정황이 발견됐다.

최근 BianLian, Rhysida 랜섬웨어 그룹이 Microsoft의 클라우드 서비스인 Azure의 데이터 전송 도구들을 활용해 대규모 데이터를 유출한 것으로 확인됐다. 사용한 도구는 Azure용 그래픽 관리 도구인 Azure Storage Explorer와 명령줄 유틸리티 AzCopy다. 탈취한 데이터를 컨테이너에 업로드하고, 두 도구를 활용해 다른 저장소로 쉽게 전송하는 식이다. 자체적으로 제작한 데이터 탈취 도구와 달리 Azure는 기업에서 많이 사용하는 정상적인 솔루션으로, 탐지 회피를 위해 악용된 사례다.

사이버 범죄 조직들은 암호화된 메시지를 전송하는 메신저 텔레그램을 주로 활용하고 있다. 메시지 암호화로 대화 내용이 노출되지 않으며 IP와 연락처 등 사용자의 개인정보를 공개하지 않는다는 점 때문에 범죄에 주로 활용되기도 한다. 하지만 9월 24일 텔레그램 개인정보 보호 정책이 업데이트됨에 따라, 범죄에 연루되거나 서비스 약관을 어기는 경우 IP와 계정에 연동된 전화번호를 법 집행 기관에 제공하게 됐다. 따라서 텔레그램에서 주로 활동하는 사이버 범죄 조직들은 텔레그램 활동을 중단하거나 다른 플랫폼으로 옮길 준비를 하는 등 여러 움직임이 포착되고 있다.

9월에는 지난달에 비해 새로운 위협이 증가했다. 기존에 활동하던 El Dorado 그룹이 BlackLock이라는 이름으로 리브랜딩 했고, 그 외에도 신규 랜섬웨어 그룹이 다수 발견됐다. 9월 10일, Valencia 그룹이 등장해 총 5건의 피해자를 게시했다. 9월 16일에는 Orca 랜섬웨어 그룹이 등장해 터키와 중국의 제조업체 2건을 피해자로 게시했다. 이후 별다른 활동이 확인되지 않았고, 9월 25일부터는 다크웹 유출 페이지에 접속할 수 없는 상태다.

랜섬웨어를 서비스 형태로 판매하는 신규 RaaS가 발견됐다. ContFR 그룹은 PDF를 통해 전파하는 Windows, MacOS 랜섬웨어를 기능까지 구분해서 판매하고 있다. Windows, Linux 버전에 비해 상대적으로 드물게 나타나는 MacOS 버전의 랜섬웨어를 사용한다는 특징이 있다. 다만, 랜섬웨어 서비스의 진위 여부는 확인되지 않았다. 판매하는 서비스는 총 3개다. TEST 버전은 30일 동안 사용, 1회 수정이 가능한 랜섬웨어로 400유로(한화 약 58만 원)에 판매하고 있다. BASIC 버전은 6개월 동안 사용, 10개의 랜섬웨어 변종과 오프라인에서도 동작하는 기능이 추가됐고, 1,200 유로(한화 약 175만 원)에 판매하고 있다. ELITE 버전은 1년 동안 사용, 변종을 무제한으로 만들 수 있고 채팅 지원 기능이 추가된 서비스로 2,200유로(한화 약 320만 원)에 판매하고 있다.

Osyolorz Collective라는 신규 조직도 발견됐다. 자신들을 사이버 테러리스트라고 소개하고, 유럽과 관련된 15개 주요 국가 대상으로 정부 기관, 금융 기관 등의 민감 데이터를 공개하는 것이 목적이라고 밝혔다. 호주, 벨기에, 체코, 덴마크, 핀란드, 프랑스, 독일, 그리스, 아일랜드, 이탈리아, 룩셈부르크, 네덜란드, 폴란드, 스페인, 스웨덴이 포함되어 있다. 피싱 메일 등 사회 공학 기법은 물론, 취약점 활용과 자체적으로 제작한 악성 코드를 활용해 데이터를 탈취한다고 주장한다. 또한 Doxing, SNS 계정 삭제, 접근 권한 획득, 금융 정보 탈취, 침투 테스트 등 각종 서비스도 판매 중이고, 홈페이지에 서비스별 금액도 기재되어 있다.

RansomHub 그룹은 9월 전체 랜섬웨어 피해자의 19%에 해당하는 피해자를 게시했다. 최근 RansomHub는 EDR 솔루션을 비활성화하기 위해 러시아 보안회사 Kaspersky의 루트킷 및 부트킷 탐지 도구인 TDSSKiller를 사용한 정황이 발견됐다. 유효한 인증서로 서명된 합법적인 도구이기 때문에 악성 행위가 탐지될 가능성이 작다는 점을 이용했고, 특정 서비스를 제거하는 명령어 “-dcsvc”를 이용해 보안 솔루션 서비스를 비활성화했다. 합법적인 도구를 활용해 보안 서비스를 비활성화할 수 없도록 EDR솔루션에서 변조 방지 기능을 활용하거나 “-dcsvc” 플래그 사용을 모니터링하는 등 적절한 조치가 필요하다.

Play 그룹은 미국 소재의 기업을 집중적으로 공격하는 모습을 보인다. 9월에는 미국 도소매 공급 업체 협동조합 Piggly Wiggly Alabama Distributing Company의 예산 세부 정보, 급여 기록, 고객 문서 및 재무 정보 등을 포함한 103GB 크기의 데이터를 탈취했다고 주장했고, 9월 15일 모든 데이터를 공개했다. 해당 기업은 지난 2022년 5월에도 BlackBasta 그룹에 의해 탈취된 데이터가 공개된 적 있다.

Medusa 그룹은 9월 17일 다국적 계약 식품 서비스 회사인 Compass Group의 호주 지사를 공격해 약 800GB에 달하는 데이터를 탈취했다. 함께 공개된 샘플 데이터에 따르면, 직원 신분증, 여권 사본, 운전 면허증, 메일 등 개인정보는 물론 급여 명세서 등 내부 문서도 다수 포함되어 있다. Medusa 그룹은 Compass Group의 보안 담당자가 몸값을 지불하지 않고, 보안 솔루션을 사용해 접근하지 못하게 시도했다는 이유로 9월 19일 2차 공격을 통해 추가 데이터를 공개했다.

Qilin 그룹은 9월에 미국 디트로이트 지역의 비상업적 공영 방송을 제공하는 Detroit PBS를 공격해 약 600GB에 달하는 데이터를 탈취했다. 현재 샘플 데이터만 공개됐는데 계산서, 미수금 보고서와 같은 금융 데이터와 내부 문서가 포함되어 있다.

Meow 그룹은 이스라엘 국방군(IDF)과 이스라엘 정보기관 모사드(Mossad)의 데이터를 탈취해 게시했다. 군인 및 정보 요원의 여권 사본, 개인 정보, 군 내부 문서 등이 포함된 데이터를 2만 달러(한화 약 2,600 만 원)에 판매하고 있다.

CyberVolk 그룹은 올해 3월 GLORIAMIST INDIA라는 이름으로 먼저 텔레그램에서 활동을 시작했다. 동일한 이름을 가진 GLORIAMIST 라는 핵티비스트 그룹이 작년 12월부터 텔레그램을 통해 활동했는데, 파트너로서 활동을 시작한 것으로 알려졌다. 팔레스타인을 지지하는 GLORIAMIST INDIA는 정치적으로 연관된 국가의 기업을 대상으로 주로 DDoS 공격을 감행하는 모습을 보였다.

6월 초, GLORIAMIST의 설립자 DeathHack(Patcher)이 체포되었을 수도 있다는 텔레그램 메시지가 게시됐고, GLORIAMIST와 GLORIAMIST INDIA는 6월 6일부터 활동을 중단했다. 17일 뒤 재개에 나선 GLORIAMIST INDIA는 새로운 그룹명을 위해 투표를 실시했다. 해당 투표를 통해 CyberVolk라는 이름이 채택됐다. 여전히 팔레스타인을 지지하는 CyberVolk는 DDoS 공격을 중점적으로 기존의 핵티비스트 활동을 이어 나가고 있다.

그림 8. CyberVolk 랜섬웨어 판매 글(좌: 초기 버전, 우: 최신 버전)

7월 1일부터 텔레그램에서 랜섬웨어 판매도 시작했다. 초기 버전 판매 시작 9일 뒤인 10일부터는 암호화 알고리즘과 확장자를 변경한 최신 버전을 판매했다. 최신 버전에서는 랜섬웨어에 양자 저항 알고리즘을 사용하기 시작했는데, CyberVolk 그룹은 이 때문에 파일을 임의로 복구하는 것이 불가능하고, 올바른 키가 입력되지 않을 경우(키에 대한 유효성 검증 없이 36자가 입력되지 않으면) 모든 파일이 0KB로 변할 것이라고 밝혔다.

9월 23일, 정보 탈취 도구인 CyberVolk StealerV1을 판매하기 시작했다. 해당 Stealer는 스팀, 디스코드 등 소프트웨어 정보, 브라우저 데이터, 암호 화폐 지갑 정보는 물론 시스템 정보 탈취 기능까지 보유하고 있다. 해당 악성코드는 소스코드 형태로 1,000달러(한화 약 130만 원)에 판매되고 있다.

CyberVolk 랜섬웨어는 하드코딩된 비트맵 파일을 이용해 바탕화면 변경부터 진행한다. 시스템에 설정된 환경변수로 임시 폴더의 경로를 확인하고, 해당 경로에 “tmp.bmp”라는 이름의 비트맵 파일을 저장한다. 사용하는 비트맵 파일은 아래 그림과 같다.

바탕화면을 변경한 뒤 사용자가 상호작용을 할 수 있는 Windows 팝업 창 Dialog Box를 생성한다. 팝업 창에는 CyberVolk 그룹에 대한 소개, 연락처, 암호화폐 지갑 주소를 첨부해 사용자에게 1,000달러(한화 약 130만 원)를 송금하도록 요구한다. 또, 복호화 키를 입력할 수 있는 텍스트박스가 존재하고, 5시간 카운트다운 타이머를 표기해 압박감을 느끼도록 만든다.

팝업 창에 표기된 남은 시간은 %APPDATA% 경로에 time.dat이라는 이름으로 저장해 사용된다. 랜섬웨어가 실행되면 해당 파일에 18000이라는 값을 저장하고, 1초마다 해당 파일값을 1씩 줄여가면서 시간을 표기하는 방식이다. 따라서 해당 파일을 수정하면 남은 시간도 수정된다. 다만, 시간이 지나더라도 랜섬웨어가 종료되거나 시스템이 다운되는 등 별다른 영향은 없는 것으로 확인됐다.

또, 사용자가 랜섬웨어를 중단하지 못하도록 1초마다 작업 관리자 프로세스가 실행 중인지 체크해 강제 종료시킨다. 다만, CyberVolk 랜섬웨어는 자체적인 지속성 확보 수단이 존재하지 않기 때문에 PowerShell 명령어나 PC를 강제로 종료하면 랜섬웨어 실행을 중단할 수 있다.

팝업 창의 시간이 흐르는 동안 CyberVolk 랜섬웨어는 파일 암호화를 준비한다. 모든 드라이브를 탐색하며 이동식 디스크와 하드 디스크에 존재하는 루트 디렉토리부터 암호화 대상을 탐색하기 시작한다. 각 드라이브의 최상위 디렉토리에서 Users 디렉토리가 존재하는지 확인하고, 해당 Users 하위 디렉토리만 암호화를 진행한다.

Users의 하위 디렉토리에서는 모든 폴더 및 파일을 순회하며 속성을 구분한다. 폴더일 경우 CyberVolk_ReadMe.txt라는 파일을 해당 폴더에 생성하고, 랜섬웨어에 하드코딩된 랜섬노트 내용을 저장한다. 그 과정에서 이미 암호화된 파일 *.CyberVolk와 랜섬노트 CyberVolk_ReadMe.txt를 제외한 모든 파일을 암호화한다.

파일 암호화 과정은 기존 파일명에 암호화 확장자 .CyberVolk가 추가된 파일을 새로 생성하는 것으로 시작한다. 이후 현재 시스템 시간을 시드로 설정한 뒤 난수를 생성해 32Bytes 크기의 암호화 키와 16Bytes 크기의 초기화 벡터(IV)를 파일마다 생성한다. 다음으로 파일 크기에 따라 전체 암호화와 부분 암호화를 진행한다. 파일 크기별 암호화 방식은 아래 그림과 같다.

원본 파일 크기가 1KB 이하일 경우 전체 파일을 암호화한다. 1KB 초과 10KB 이하인 파일은 첫 1KB만 암호화한다. 10KB를 초과하면 10KB 간격마다 첫 1KB만 암호화한다. 해당 방식으로 암호화한 파일은 암호화 확장자가 추가된 새로운 파일로 저장한다. 파일 암호화에는 AES 알고리즘을 사용하고, 사용한 키는 랜섬웨어에 하드코딩된 RSA 공개키를 이용해 보호한다. 파일 암호화에 사용한 초기화 벡터는 원본 그대로 암호화된 파일의 맨 앞에 추가하고, 보호된 암호화 키는 파일 맨 끝에 추가한다. 텔레그램에서는 파일 암호화에 ChaCha20 알고리즘을 사용한다고 홍보 중이나, 분석 결과 사용하지 않는 것으로 확인됐다.

또한, 파일 암호화 과정에서 랜섬웨어에 저장된 랜섬노트 데이터를 활용해 각 폴더에 랜섬노트를 생성한다.

앞서 언급한 바와 같이 CyberVolk 랜섬웨어는 키를 입력해 바로 복호화할 수 있는 기능이 있다. 사용자가 입력한 키는 %APPDATA% 경로에 dec_key.dat 이름으로 저장된다. 파일 복호화를 위해 각 파일 끝에 저장된 암호화 키를 복구해야 하고, 암호화 키 복구에는 4096Bytes 크기의 RSA 개인 키가 필요하다. 하지만 실제로는 36Bytes 길이의 키를 요구하고, 더 길거나 짧은 길이의 키는 필터링한다.

사용자가 입력한 36Bytes의 키는 치환 테이블로 사용된다. 랜섬웨어에는 치환된 RSA 개인 키가 저장되어 있고, 사용자가 입력한 치환 테이블 기준으로 한 문자씩 치환해 RSA 개인 키가 복구된다. 치환 테이블을 정상적으로 입력했다면 파일별로 암호화 키를 복구할 수 있어 정상적인 복구가 진행된다. 다만, 키가 정상적으로 복구됐는지 검증하는 과정이 없어 잘못 입력했다면 복구가 정상적으로 이루어지지 않고, 잘못된 키로 복호화를 시도했기 때문에 암호화된 파일이 모두 손상된다.

CyberVolk 랜섬웨어는 메일의 첨부파일을 통해 랜섬웨어를 전파한다. 따라서 의심스럽거나 확인되지 않은 발신자의 메일 및 첨부파일을 열람하지 않도록 주의가 필요하다. 첨부파일을 내려받더라도 실행되지 않도록 Anti-Virus 등의 솔루션을 사용하거나 가상 환경에서 메일에 위협 요소가 있는지 사전 탐색하고 차단하는 Email Thread Response & Detection 솔루션 등을 이용해 위협을 막을 수 있다.

또한, 랜섬웨어 실행에 필요한 각종 설정 파일을 시스템에 저장해 사용한 뒤 삭제한다. CyberVolk 랜섬웨어는 별도의 프로세스 권한 상승 기능이 존재하지 않기 때문에 사전에 파일 및 디렉토리의 권한을 제한하거나 최소한으로 부여하는 등 조치가 필요하다. 추가로 ASR 규칙을 활성화하거나 EDR 솔루션을 사용해 공격자의 특정 프로세스를 차단해 파일 암호화와 같은 악성 행위를 막을 수 있다.

마지막으로, CyberVolk랜섬웨어는 제한적인 범위만 암호화하고 백업 복사본을 별도로 삭제하지 않기 때문에 Windows 기본 기능을 통해 시스템 백업을 해두었다면 일부 파일은 복구될 수 있다. 이 외에도 주요 데이터를 별도의 네트워크나 저장소에 소산 백업해 피해를 최소화할 수 있다.

• BleepingComputer 공식 홈페이지 (https://www.bleepingcomputer.com/news/security/linux-version-of-new-cicada-ransomware-targets-vmware-esxi-servers/)

• BleepingComputer 공식 홈페이지 (https://www.bleepingcomputer.com/news/security/ransomware-gang-deploys-new-malware-to-kill-security-software/)

• BleepingComputer 공식 홈페이지 (https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-abuses-kaspersky-tdsskiller-to-disable-edr-software/)

• TRUESEC 공식 블로그 (https://www.truesec.com/hub/blog/dissecting-the-cicada)

• modePUSH 공식 블로그 (https://www.modepush.com/blog/highway-blobbery-data-theft-using-azure-storage-explorer)

• ArcticWolf 공식 홈페이지 (https://arcticwolf.com/resources/blog/arctic-wolf-observes-akira-ransomware-campaign-targeting-sonicwall-sslvpn-accounts/)

Hash (SHA-256)	File Name
de0b74917fe24c2b38e2d1172b7352f88bf8b3df64b6d44ca5f317db85aeb324	CyberVolk_odz9rjs5efm3yat2vb7w40cq16nx8hkpilug.exe
489e921e3f060b15e3825ca53205eddecbe65583b3de90bb3550049d2c278de8	my.exe
6343bb6570bdea7f0e829312cf5829defa9eb69238fefa6c272650e1e5219a86	ransom.exe
102276ae1f518745695fe8f291bf6e69856b91723244881561bb1a2338d54b12	ransom.exe