2024-03-19 20:05 (화)
은행·병원·기업 등 닥치는 대로 공격하는 랜섬웨어 피해 계속, 랜섬머니는 ↗
상태바
은행·병원·기업 등 닥치는 대로 공격하는 랜섬웨어 피해 계속, 랜섬머니는 ↗
  • 길민권 기자
  • 승인 2020.09.20 15:23
이 기사를 공유합니다

은행 지점 폐쇄하고 병원 수술실 마비되고 기업과 대학들도 마비
보안솔루션 회피 기술 더욱 발전시키고 랜섬머니도 계속 올라가는 상황

은행, 병원, 대학, 기업 등 전세계적으로 랜섬웨어 공포가 계속되고 있다. 한국도 최근 대기업에서 랜섬웨어 감염 사고가 발생하는 등 각별한 주의가 요구되는 상황이다.


칠레 최대 은행, 랜섬웨어 공격으로 지점 폐쇄

칠레 최대 규모 은행 중 하나인 BancoEstado가 랜섬웨어 공격을 받아 지난 9월 7일부터 지점을 폐쇄했다. 이 랜섬웨어는 회사 서버 대부분과 워크스테이션을 암호화했다.

은행 측은 지난 일요일 트위터를 통해 공격 받은 사실을 밝혔으며 사건을 조사하고 시스템 복구를 위해 지점을 폐쇄하기로 결정했다고 밝혔다.

조사결과, 이 칠레 은행은 Sodinokibi 랜섬웨어의 공격을 받은 것으로 나타났다. 하지만 해당 랜섬웨어 그룹의 유출 사이트에는 은행의 데이터가 올라오지 않은 상태다.

수사기관은 지난 4일 금요일 밤부터 토요일 사이에 해커가 백도어를 통해 은행의 네트워크에 잠입해 랜섬웨어를 설치한 것으로 추측했다.

이 랜섬웨어로 인해 이미 아르헨티나 텔레콤, 스리랑카 텔레콤, 벨리 헬스 시스템, 호주 라이온, 브라운 포먼, 전력회사인 라이트 S.A, 전력운영 기관인 엘렉슨 등이 피해를 입었다.


영국 대학, 랜섬웨어 감염으로 시스템을 오프라인으로 전환

영국의 연구 대학인 뉴캐슬대학이 지난 8월 30일 DoppelPaymer 랜섬웨어에 감염되었다. 이 사건에 대응하기 위해 8월 30일 시스템을 오프라인 상태로 전환한 바 있다.

DoppelPaymer 랜섬웨어의 운영자들이 뉴캐슬대학에 대해 랜섬웨어 공격은 자신들 소행이라고 밝혔다. 이들은 직접 운영하는 유출 사이트인 ‘Dopple Leaks’에 해당 대학에서 훔친 데이터 750KB를 게시했다.

뉴캐슬대학은 공격 이후로 서비스가 다시 온라인 상태가 되기까지는 몇 주가 필요할 것이라 공지했다.

뉴캐슬대학의 IT 서비스는 영국 경찰과 국립 범죄청에 해당 사고에 대해 신고했으며, 각 기관은 이 사고를 조사 중이다.


뒤셀도르프 대학 병원, 랜섬웨어에 감염돼 사망 환자 발생

한편 독일 뒤셀도르프 대학 병원이 랜섬웨어 공격을 받아 긴급 입원이 필요한 한 환자가 다른 도시로 이송된 후 사망하는 사고가 발생했다.

뒤셀도르프 대학 병원의 시스템이 랜섬웨어 공격으로 지난 9월 17일부터 운영 중단된 것이다. 해당 환자에 대한 치료는 한 시간이나 지연되어 사망을 초래한 것으로 나타났다.

이 사이버 공격은 지난 17일 발생했으며 그 후로 뒤셀도르프 대학 병원의 시스템은 사용할 수 없는 상태가 되었다. 당국은 해당 사건을 조사한 결과 이는 널리 사용되는 상용 애드온 소프트웨어를 노린 사이버 공격이라 밝혔다.

이 공격으로 인해 시스템이 점차적으로 중단되었고 병원 수술이 마비되었으며 응급 환자의 수술이 연기되었다.

병원은 공격자가 랜섬머니를 구체적으로 요구하지 않았으며 데이터의 복구가 불가능해 보이지는 않는다고 밝혔다.

조사기관에 따르면, 이 병원은 랜섬웨어 공격을 받아 네트워크 내 서버 30대가 감염되었으며 시스템 중 하나에서 랜섬노트가 발견되었다고 밝혔다. 해당 랜섬노트에는 공격자에게 연락할 수 있는 연락처를 포함하고 있었으나 금액은 제시되지 않은 것으로 나타났다.

뒤셀도르프의 법 집행 기관은 랜섬웨어 운영자에게 연락해 병원이 감염되어 환자의 생명을 위협했다고 알렸다. 이후 랜섬웨어 운영자는 협박을 멈추고 데이터를 해독할 수 있는 디지털 키를 제공했다.


ProLock 랜섬웨어, 평균 랜섬머니 금액 180만 달러로 증가

한편 ProLock 랜섬웨어 운영자들은 지난 6개월 동안 수 많은 랜섬웨어 공격을 실행한 것으로 나타났다. 이들은 6개월 동안 매일 평균 1건의 공격을 실행한 것으로 조사됐다.

2019년 말, 이 랜섬웨어는 PwndLocker라는 이름으로 공격을 했지만 악성코드 내 암호화 취약점으로 인해 파일을 무료로 복호화할 수 있었던 것이다. 이후 해당 취약점을 수정해 재정비한 후 이름을 ProLock으로 변경했다.

이 공격자들은 처음부터 기업 네트워크를 노렸으며, 랜섬머니로 17만5천달러에서 66만달러 이상의 높은 금액을 요구했다.

지난 3월부터 ProLock이라는 이름으로 새로운 활동을 시작한 후, 이는 더욱 왕성하게 활동하기 시작했으며 랜섬머니 금액도 더욱 높였다. 사이버 보안 회사인 Group-IB에 따르면, 평균 랜섬머니 금액이 180만 달러로 증가한 것으로 나타났다.

ProLock 공격자들은 더 많은 랜섬머니를 지불할 수 있는 대규모 네트워크를 운영하는 기업을 노렸으며, 타깃 분야에는 딱히 제한을 두지 않았다. 지금까지는 유럽과 북미의 기업만을 노린 것으로 보인다.

Group-IB의 연구원들은 지난 반 년 동안 ProLock 작전 150건 이상을 발견했으며 가장 최근 발생한 피해자는 225비트코인(230만 달러 이상)을 지불할 것을 요구 받았다고 밝혔다.


Maze 랜섬웨어, 탐지 회피 위해 암호화에 가상머신 사용

LG전자와 SK하이닉스 등 한국기업도 공격한 Maze(메이즈) 랜섬웨어 운영자가 예전에 Ragnar Locker 그룹이 사용했던 전략을 채택한 것으로 나타났다. 이들은 가상머신에서 컴퓨터를 암호화하기 시작한 것이다.

지난 5월, Ragnar Locker가 호스트 내 보안 소프트웨어를 우회하기 위해 VirtualBox Windows XP 가상머신을 사용해 파일을 암호화한다는 내용이 보도된바 있다.

이 가상머신은 호스트의 드라이브를 원격 공유로 마운트한 후 해당 공유 내 파일을 암호화하기 위해 가상 머신에서 랜섬웨어를 실행한다.

해당 가상머신은 어떤 보안 소프트웨어도 실행하고 있지 않으며 호스트의 드라이브에 마운트된 상태이기 때문에 호스트의 보안 소프트웨어는 이 악성코드를 탐지 및 차단할 수 없게 된다.

보안기업 소포스는 한 고객에게 발생한 사건을 대응하던 중 Maze가 랜섬웨어를 두 번 배포하려고 시도했으나 보안 소프트웨어에 차단된 것을 발견했다.

Maze 공격자는 위 두 번의 시도에서 'Windows Update Security,' 'Windows Update Security Patches,' 'Google Chrome Security Update' 등의 이름을 사용하는 예약 작업을 통해 다양한 랜섬웨어 파일을 실행하려 시도했다.

소포스는 이 두 번의 시도가 모두 실패하자 Maze 공격자가 Ragnar Locker 랜섬웨어가 이전에 시도했던 전략을 시도했다고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★