새로운 형태의 랜섬웨어인 이미르(Ymir)가 전 세계적으로 기업 네트워크를 겨냥한 공격에 열을 올리고 있다. 이번 이미르 랜섬웨어는 러스티스틸러(RustyStealer)라는 자격증명 탈취 악성코드에 의해 미리 침투된 시스템을 이용하는 방식으로 배포되며, 이는 최근 사이버 범죄 조직들이 협력해 공격을 강화하는 추세를 보여준다. 이번 랜섬웨어는 카스퍼스키(Kaspersky) 연구팀이 사건 대응 중 발견해 분석 결과를 발표했다.
2021년에 처음 등장한 러스티스틸러는 주로 비밀번호와 자격증명을 탈취하는 기능을 수행하는 악성코드로, 공격자들은 이를 통해 높은 권한의 계정을 확보하여 네트워크 내부로 침투할 수 있었다. 이미르는 러스티스틸러에 의해 침투된 지 약 2일 후에 시스템에 배포되어 본격적인 공격을 시작하는데, 이는 사이버 범죄 조직들이 서로 역할을 분담하며 네트워크 공격을 효과적으로 수행하려는 시도로 해석된다.
■ 탐지 회피를 위한 고도화된 공격
이미르 랜섬웨어의 가장 눈에 띄는 특징 중 하나는 메모리 내 실행 방식이다. 디스크에 악성코드를 기록하지 않고 메모리에서만 실행되며, malloc, memmove, memcmp와 같은 메모리 함수들을 활용하여 탐지를 회피한다. 이로 인해 이미르는 디스크 스캔에 의존하는 전통적인 안티바이러스 솔루션을 피해갈 수 있다.
또한 이미르의 코드에는 아프리카 링갈라(Lingala) 언어로 작성된 주석이 포함되어 있어, 개발자의 출신을 숨기기 위한 의도로 보이거나 다른 국가에서 개발된 것으로 보이게 하려는 혼선의 전략일 수 있다는 해석이 있다.
■ 이미르의 구체적인 공격 수행 과정
이미르는 메모리에 로드된 후 시스템에 대한 정보를 수집하는 정찰 단계를 수행한다. 여기에는 시스템 날짜와 시간, 가동 시간 등이 포함되며, 이는 샌드박스 환경에서 실행 여부를 확인하여 분석 회피 기능을 강화한다.
또한 이미르는 ChaCha20 스트림 암호화 알고리즘을 사용하여 피해자의 파일을 암호화한다. 암호화된 파일에는 무작위로 생성된 확장자(예: ".6C5oy2dVr6")가 부여되고, 각 디렉터리에는 "INCIDENT_REPORT.pdf"라는 랜섬 노트가 생성된다. 이 랜섬 노트는 피해자가 자신들의 데이터가 탈취되었다는 경고를 담고 있지만, 카스퍼스키의 분석 결과 이미르 자체는 데이터 탈취 기능을 포함하지 않은 것으로 나타났다. 이는 러스티스틸러가 초기 침투 시 데이터를 탈취했을 가능성을 시사한다.
■ 레지스트리 변경 및 탐지 회피
이미르는 로그인 전 화면에서 피해자에게 랜섬 메시지를 표시하기 위해 윈도우 레지스트리의 "legalnoticecaption" 값을 수정한다. 또한 파워셸(PowerShell)을 사용하여 자신의 실행 파일을 삭제하는 등 자체 삭제 기능을 통해 사후 분석을 방해한다.
다른 랜섬웨어 조직과 달리 이미르는 아직 피해자의 데이터를 유출할 사이트를 개설하지 않았다. 전문가들은 이는 초기 피해자를 대상으로 데이터를 수집하는 단계에 있는 것으로 보고 있으며, 추후 데이터 유출 사이트가 등장할 가능성도 있다고 경고한다. 이미 여러 기업들이 이미르의 피해를 입은 만큼, 이 랜섬웨어의 위협이 증가할 가능성이 높다고 전문가들은 보고 있다.
카스퍼스키와 보안 전문가들은 이미르와 러스티스틸러의 협력이 상당히 위협적인 조합이라고 평가한다. 랜섬웨어 조직들이 자격 증명 탈취형 악성코드와 협력하면서, 초기 침투가 용이해지고 공격이 더욱 강력해지고 있다는 분석이다. 특히 러스티스틸러가 높은 권한의 계정을 확보하여 공격자들이 네트워크 내부에서 신속하게 이동할 수 있게 하며, 이를 바탕으로 랜섬웨어 배포가 용이해지고 있다.
카스퍼스키의 전문가들은 이미르가 랜섬웨어의 미래를 보여주고 있다고 경고했다. 악성코드가 진입점을 마련하는 ‘엑세스 브로커’와 협력하는 방식이 증가하면서 랜섬웨어 개발자들은 암호화와 랜섬 요구에만 집중할 수 있는 환경이 조성되고 있다. 전문가들은 기업들이 접근 관리 취약점을 보완하고 내부 위협 탐지 시스템을 강화해야 미래 랜섬웨어 피해를 막을 수 있을 것이라고 조언했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
