록빗 랜섬웨어 조직의 흔적이 물씬 풍겨 나오는 새 공격 도구...공통점 많아

요약 : 보안 외신 SC미디어에 의하면 최근 해커들 사이에서 새롭게 사용되기 시작한 공격 도구인 EX-22(EXFILTRATE-22)의 배후에 록빗(LockBit)이라는 악명 높은 랜섬웨어 운영 집단이 있는 것으로 의심된다고 한다. C&C 인프라가 동일하며, 록빗이 즐겨 사용하는 ‘도메인 프런팅(domain fronting)’이라는 기법을 EX-22 운영자들도 사용하고 있는 것이 발견됐기 때문이다. EX-22는 피해자 네트워크에 침투 후 랜섬웨어를 심는 데 활용되고 있다.


배경 : EX-22 운영자는 다크웹의 랜섬웨어 시장에서 매우 공격적으로 마케팅을 하고 있다고 한다. 이를 발견한 보안 업체 사이퍼마(CYFIRMA)는 공격자들이 랜섬웨어 생태계에 매우 익숙한 것으로 보이며, 랜섬웨어 사업을 해 본 자들로 보인다고 한다. 록빗에서 나온 누군가가 개발에 참여했을 것이라고 사이퍼마는 생각하고 있다.

말말말 : “EX-22는 현존하는 모든 백신과 EDR 제품으로 탐지가 되지 않습니다.” -EX-22 운영자의 홍보 글-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>