영국 사이버 보안 회사인 Sophos 에 따르면 올해 사이버 범죄자들의 중소기업 (SMB)을 대상으로 한 Dharma Ransomware-as-a-Service (RaaS) 공격이 점점 증가하고 있다고 한다. 이러한 공격을 위해 해커는 온라인에서 덤프되거나 판매용으로 제공된 Dharma 소스 코드를 다양하게 활용하고 있다.
|
Dharma ransomware? 2016 년 3 월경 CrySiS 라는 이름으로 시작되었으나, 마스터 복호화 키 유출 소식이 2016 년 11 월 BleepingComputer 포럼에 게시되었다. 얼마 지나지 않아 암호화 된 파일에 .dharma 확장자 를 추가한 새로운 변종 랜섬웨어가 출시되었으며 그 이후로 새로운 변종이 끊임없이 발표되고 있다. 10 만 달러에서 백만 달러에 이르는 몸값 요구를 요구하는 다른 대기업 대상 RaaS와는 달리 Dharma는 평균 요구 사항이 약 9,000 달러로 낮은 범위에 있는 경향이 있다. |
2020 년 SMB 대상의 Dharma 공격의 약 85 %가 원격 데스크톱 프로토콜 (RDP)과 같은 인터넷에 노출된 공격 벡터를 이용하고 있으며 평균적인 Dharma 몸값 요구는 8,620 달러 수준을 유지했다. 이에 비해 2020 년 1 분기 평균 몸값 지불액은 44,021 달러라고 랜섬웨어 복구회사인 Coveware 가 밝히고 있다.
Dharma RaaS Attack Killchain(출처:소포스)
Dharma RaaS 공격은 어떻게 동작하는가?
Sophos 선임 위협 연구원인 Sean Gallagher 의 말을 빌리자면 Dharma는 서비스 기반 비즈니스 모델을 사용하기 때문에 "패스트 푸드 프랜차이즈 랜섬웨어"를 대표하고 있다. 따라서 Dharma는 빠르게 세계에서 가장 수익성이 높은 랜섬웨어 제품군 중 하나가 되었으며 SMB를 대상으로 최고의 선택이 될 수 있었다.
사이버 범죄자들이 Dharma 공격 중에 오픈 소스 도구와 상용 도구의 프리웨어 버전을 자주 사용한다고 Sophos는 주장한다. 또한 SMB 네트워크 전체에 Dharma를 확산하는 데 필요한 구성 요소를 설치하고 실행하는 메뉴 기반 PowerShell 스크립트를 활용할 수도 있다.
'Toolbelt'로 알려진 이 도구는 실행시 공격자가 매핑 된 원격 데스크톱 공유 '\\ tsclient \ e'폴더에서 다양한 도구를 다운로드하고 실행할 수 있도록하는 PowerShell 스크립트이다.
The startup screen for toolbelt.ps1(출처:소포스)
게다가 Dharma 공격은 복잡한 암호 해독 프로세스를 사용하는데 피해자가 Dharma 몸값을 지불하고 복구 키를 요청하면 먼저 암호화 된 파일의 세부 정보를 추출하는 도구가 제공되며 다음으로 두 번째 복호화 키가 피해자에게 제공된다.
Dharma 공격으로부터 보호하기 위한 방법
Sophos는 SMB가 Dharma 공격으로부터 보호 할 수 있도록 다음과 같은 권장 사항을 제공하고 있다.
- 인터넷 연결 RDP를 비활성화한다.
- 모든 네트워크 장치가 정기적 인 보안 업데이트를 받도록한다.
- 오프라인 저장 장치에 데이터를 백업한다.
- 랜섬웨어 공격의 경고 신호를 주의깊게 살핀다.
Sophos는 사이버 보안을 위한 완벽한 해결책은 없으나 계층화된 보안 모델을 통해 SMB는 장기적인 손상을 입기 전에 랜섬웨어 및 기타 사이버 공격을 식별하고 해결할 수있는 준비를 해야 한다고 말하고 있다.
참고자료:
보안관제센터 Team MIR