“이 랜섬웨어만 심어주신다면 100만 달러를 드리겠습니다”는 메일을 공격자가 직접 보내기 시작한다. 기술적으로 연마하고, 다크웹에서 능력자를 찾아 협력 체계를 맺는 대신 아예 피해자 조직으로부터 파트너를 모집하는 것이다. 랜섬웨어가 한 번 더 진화하려고 한다.

[보안뉴스 문가용 기자] 랜섬웨어 공격자들의 전략이 한 단계 더 진화하려는 것으로 보인다. 내부자를 매수하는 걸 공격 프로세스의 일부로 가져오는 단체가 록빗(LockBit) 외에 하나 더 발견되었다. 보안 업체 하나가 가짜 내부자로 위장하여 이 랜섬웨어 단체에 접근해 공격자들과 전략을 공유했다. 그러고는 랜섬웨어 수익금의 일부를 약속 받았다.


이 보안 업체의 이름은 앱노멀 시큐리티(Abnormal Security)다. 위협 분석 부문 국장인 크레인 하솔드(Crane Hassold)가 8월 12일부터 가짜 내부자로 위장하여 공격자들과 대화를 주고받았다. 하솔드는 공격자가 나이지리아에서 BEC 공격을 실시하던 자들로 보고 있다. “BEC에서 하던 것을 랜섬웨어 공격에 응용했습니다. 꽤나 창의적이라고 생각합니다.”

랜섬웨어 공격자들이 내부자를 매수하려는 시도는 작년 테슬라(Tesla)를 겨냥한 사이버 공격 사태에서 처음 발견됐다. 이 때 사이버 범죄자들은 테슬라의 기가팩토리(Gigafactory) 직원에 100만 달러 뇌물을 주고 회사 내부 네트워크에 랜섬웨어를 심어달라고 부탁했었다. 다만 당시 직원은 FBI와 함께 범죄자를 추적해 체포하는 데 공을 세웠다.

이번 공격에서 하솔드는 텔레그램을 통해 공격자와 연락을 주고받았다고 한다. 회사에 기꺼이 랜섬웨어를 심을 수 있지만 약간은 불안해 하는 내부 직원을 연기했다. 그러면서도 범죄자들이 나눠줄 보상에 대해서도 깊은 관심을 나타냈다. 일이 진행되는 동안 가장 의외라고 생각했던 건 공격자들이 한 번에 큰 수익을 거두려고 애쓰지는 않았다는 것이었다. “한 탕을 하려는 게 아니라, 자신들이 투자한 것 이상만 돈을 벌어도 된다는 마음가짐이었습니다. 매수라는 것도 투자 대비 효율이 좋은 방법이라고 인식한 것으로 보입니다.”

공격자는 기존 BEC 공격을 통해 하던 것처럼 링크드인이나 공식 웹사이트를 통해 내부 임직원 현황과 연락처 정보를 파악했다. 그런 후 임원급 인사로 가장해 직원들에게 가짜 메일을 보냈다. 계정 크리덴셜을 훔치려는 게 목적이었다. “성공했다면 해당 계정을 통해 접속한 후 랜섬웨어를 심었을 겁니다. 하지만 실패하자 뇌물 작전으로 돌아섰습니다. 직원들에게 이메일을 보내 협력을 요청한 것이죠.”

하솔드는 “랜섬웨어 공격자들의 기술력이 매우 뛰어나다고 우리는 흔히 생각하는데, 그 편견을 와장창 깨버리는 사건”이라고 말한다. “나이지리아 공격자들은 보통 기술적으로 뛰어나지 않습니다. 그러나 거기에 주눅들지 않고 자신들이 가장 잘하는 걸 랜섬웨어 공격에 접목했습니다. 그 결과 BEC와 랜섬웨어가 교묘히 섞인, 그러면서도 효과가 좋은 공격 전략이 탄생했습니다. 아마 BEC, 로맨스 스캠, 랜섬웨어 공격을 모두 실시하고 있을 겁니다. 하나만 고집할 이유가 없거든요.”

하솔드는 이번 공격자에 대해 다음과 같이 설명한다. “한 기업의 직원이 이메일을 받았어요. 비트코인으로 100만 달러 혹은 랜섬웨어 수익의 40%를 주겠다는 내용이었습니다. 데몬웨어(DemonWare)라는 랜섬웨어를 회사 내 윈도 서버나 PC에 설치해 준다는 조건으로요. 직접 주요 시스템에 접근해 심든, 원격에서 심든 그건 자유였습니다. 그러면서 공격자 연락처도 함께 동봉했더군요.”

데몬웨어 랜섬웨어는 블랙킹덤(Black Kingdom)이라고도 알려져 있는데, 깃허브에서 다운로드가 가능하다. 하솔드는 보안 전문가라 이 사실을 알고 있었지만(데몬웨어는 마이크로소프트 익스체인지에서 발견된 제로데이 취약점인 CVE-2021-27065를 익스플로잇 하는 것으로 유명하다), 공격자는 하솔드가 연기하는 ‘가짜 직원’에게 자신이 파이선으로 데몬웨어를 직접 작성했다고 말했다. 앱노멀 측에서 조사를 따로 진행했을 때 이 공격자가 노리던 표적은 나라와 산업을 불문했다. ‘누구든지 한 명만 걸려라’는 식으로 공격을 실시한 것으로 보인다.

하솔드가 직원으로 가장하여 협조할 수 있다고 말하자 공격자는 Walletconnect(1).exe라는 파일을 하나 보냈다. 그러면서 그것이 랜섬웨어라고 설명했다. 또한 랜섬웨어 제어판 스크린샷도 함께 보내면서 작동법을 알려주기도 했다. 하솔드 외에 세 명이 더 협조하고 있다고 자랑하기도 했다. 나눠줄 수익이 생길 수밖에 없다는 의미로, 불안해 하는 하솔드를 안심시키기 위한 시도로 분석된다.

하솔드는 “서버에다가 랜섬웨어를 심으면 나중에 수사하다가 발각될 텐데, 그럴 때는 어떻게 해야 하느냐?”고 물었다. 공격자는 “모든 파일이 암호화 될 것이고, 피해 조직이 돈을 내 주고 나서야 복호화가 될 것이기 때문에 수사를 통해 당신이 범인으로 찍힐 일이 없다”고 안심시켰다. 또 “파일을 한 번 실행시키고 휴지통에 넣어 삭제하라”고 안내하기도 했었다. “이 안내 한 마디만 봐도 공격자의 IT 지식이 무척 기초적이라는 것을 알 수 있었습니다.”

하솔드는 겉으로 그와 상대하면서 뒤로는 앱노멀의 전문가들과 함께 조사와 추적을 이어갔다. 그러면서 공격자의 신상과 관련된 정보를 수집할 수 있었다. 이 때 그의 위치가 ‘나이지리아’라는 것도 알아냈다. “한두 가지 정보가 아니라 여러 가지 정보를 습득해 비교 분석한 결과입니다. 실제로 그는 여러 가짜 정보를 소셜미디어에 기입해 프로파일을 만들고 운영하기도 했습니다.”

이번 조사를 통해 하솔드는 “다른 영역에서 활동하던 사이버 범죄자들이 자신만의 특기를 랜섬웨어와 융합하는 데에까지 이른 듯 하다”고 말한다. “랜섬웨어가 그만큼 높은 수익을 보장하는 공격 유형이기 때문입니다. 물론 랜섬웨어보다는 BEC가 공격자들 입장에서는 더 수익성이 좋습니다. 랜섬웨어가 모든 관심을 독차지하고 있지만 실제로 돈을 더 많이 버는 건 BEC 공격자들입니다.”

한편 최근 다시 나타난 록빗 2.0(LockBit 2.0) 랜섬웨어 공격자들도 악성 내부자를 먼저 모집하여 공격을 실시하는 전략을 선보여 보안 업계에서 많은 경고가 나오고 있는 중이기도 하다.

3줄 요약
1. 나이지리아의 한 BEC 공격자, 랜섬웨어에도 손 대기 시작.
2. 자신이 잘 하는 ‘인간 농락’ 사기술을 접목하는 방식으로 기술적 미숙함 보완.
3. 내부자를 매수해 랜섬웨어를 심는 공격 기술, 점차 확대되는가.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>