전세계적으로 랜섬웨어가 다시금 이슈가 되고 있어 주의가 필요하다. 2017년 WannaCry, 2018년 GandCrab 을 통해 이슈가 된 이후로 랜섬웨어는 공격자들이 많이 사용하는 공격방법이다. 현재 국내 및 해외를 막론하고 전반적으로 랜섬웨어 공격이 다시금 활발해 지고 있는 상황이다. 실제 확인되는 랜섬웨어 공격은 다음과 같다.
- Vinus Locker 조직의 입사지원서 위장 Nemty 랜섬웨어 유포
북한 소속의 해커 집단으로 추정되는 Vinus Locker 조직은 지난 2017년부터 VinusLocker, GandCrab, Sodinokibi 랜섬웨어 등 다양한 랜섬웨어를 이용하여 국내에 랜섬웨어를 유포해왔으며, 특이 이메일을 이용한 랜섬웨어 유포를 주로 사용하는 공격조직이다. 지난 10월 29일, EstSecurity에 따르면 VinusLocker 조직으로 추정되는 공격자에 의해 입사지원서로 위장한 Nemty 랜섬웨어가 유포되고 있는 정황이 확인되었다고 한다. 이번에 공개된 Nemty 랜섬웨어는 복호화 도구가 공개된 Nemty 랜섬웨어 V1.x 버전이 아닌 2.0 버전인 것으로 확인되어 주의가 필요하다.
- Trik botnet 을 이용한 Nemty 랜섬웨어 유포
국내와 마찬가지로 해외에서도 Nemty 랜섬웨어가 활발하게 유포되고 있다. 해외에서 주로 사용되는 방식은 공개된 시스템의 취약한 패스워드를 공격하여 SMB 프로토콜을 이용하여 전파된다. 해당 악성코드는 기본 관리자 이름인 Administrator의 취약한 패스워드에 Dictionary를 이용한 무작위 대입 공격을 통해 악성코드를 실행시킨다.
[해외 Nemty 랜섬웨어 유포를 위한 Password Dictionary - 그림출처 Bleeping Computer]
- 미국 Brooklyn 병원 랜섬웨어 감염
미국 뉴욕에 있는 Brooklyn Hospital Center 에서 다수의 컴퓨터가 랜섬웨어에 감염되어 해당 병원에 입원한 환자들의 데이터가 암호화 되는 사태가 발생했다.
병원측에서는 데이터를 복구하기 위한 다양한 시도를 했으나 공격자들에게 비용을 지불하는 방법을 제외하고 성공하지 못한 것으로 확인되었다. 복구하지 못한 데이터 중에는 환자의 성명 외에도 의료정보 이미지가 포함된 것으로 알려졌다. 해당 이미지는 치아 및 심장에 대한 X-Ray, MRI 촬영 이미지 인 것으로 추정된다. 병원 측의 조사 결과, 환자의 개인정보 및 의료정보는 단순 암호화 된 것으로 해당 파일들이 유출된 정황은 확인할 수 없었다고 한다.
- 스페인 MSP 업체 랜섬웨어 감염
스페인의 대형 MSP 업체 중 하나인 Everis가 랜섬웨어에 감염되어 시스템이 암호화되는 사고가 발생하였다. 이로 인해 스페인의 가장 큰 무선 네트워크 채널인 Cadena SER도 암호화 되었다. 해당 업체를 암호화 시킨 랜섬웨어는 *.3v3ris 확장자로 파일을 암호화 했으며 이를 통해 이번 공격은 Everis에 대해 타겟형으로 이뤄진 공격인 것으로 추정된다. 공격자들은 랜섬노트를 통해 Everis에 복호화 키를 제공받기 위한 대가로 75만 유로(한화 약 9억6천만원, 19-11-06 13:00 기준)을 요구한 것으로 알려졌다. 또한 Everis에서 사용중인 수백 대 이상 규모의 서버들이 인터넷에 직접적으로 연결되어 있어 이번 공격은 BlueKeep 취약점을 통해 이루어졌을 가능성이 있는 것으로 알려졌다.
[그림 출처 : EMSISoft]
전세계적으로 랜섬웨어 공격은 다양한 방법을 통해 진행되고 있다. EMSISoft에서 발간된 자료를 근거로 랜섬웨어 공격은 가상화폐 가격 변동과 관련이 있는 것으로 판단된다. 비트코인 가격의 상승은 대규모 랜섬웨어 사고 직후 주로 발견되고 있다.
[Coinbase Bitcoin price information(2019-11-06 13:00)]
위 그림과 같이 실제로 지난 10월 26일 전후로 비트코인 가격이 급등하였다. 10월 25일 870~880만원 선이었던 비트코인은 10월 26일 오전 11시 이후 1130만원으로 폭등하였으며 이후로도 현재까지 1000만원 이상 선을 유지하고 있다. 이러한 맥락에서 볼 때 피해자들은 랜섬웨어 복호화를 위해 가상화폐를 구입하므로 가상화폐 가격이 상승하고 가격이 상승하면 공격이 더욱더 활발해지는 악순환이 반복되고 있다.
이렇듯 비트코인 가격과 랜섬웨어 공격 발생 간에는 상당부분 인과관계가 있을 것으로 예상된다. 또한 대규모 랜섬웨어 사고 발생 직후 다수의 모방범죄 형식의 랜섬웨어 공격이 발생함에 따라 지속적으로 비트코인 가격이 유지되거나 상승하는 것일 수도 있다. 따라서 지금과 같이 비트코인 가격이 상승세를 유지하는 동안에는 랜섬웨어, 코인마이너 등 가상화폐를 목적으로 하는 악성코드 공격 또한 증가할 것으로 판단되어 보안에 주의가 필요하다.
보안관제센터 MIR Team
[Reference]
https://blog.alyac.co.kr/2591?category=957259
https://www.bleepingcomputer.com/news/security/nemty-ransomware-now-spreads-via-trik-botnet/
https://blog.emsisoft.com/en/33977/is-ransomware-driving-up-the-price-of-bitcoin/