DoppelPaymer 랜섬웨어 피해 사례 보고서

DoppelPaymer 랜섬웨어

INDRIK SPIDER 및 TA505로도 알려진 러시아 모스크바의 Evil Corp 사이버 범죄 그룹은 Dridex와 함께 BitPaymer 랜섬웨어를 유포하기 시작했다. 그 후 BitPaymer와 유사하지만 특정 프로세스를 종료 시켜 많은 파일을 암호화할 수 있고, 네트워크 명령을 통해 로컬 네트워크 및 다른 호스트의 IP 주소를 검색하는 기능을 추가한 DoppelPaymer가 2019년 6월 공개되었다. 하지만 DoppelPaymer의 출처가 Evil Corp 그룹과 연관이 있다는 추정이 있을 뿐 정확한 증거는 존재하지 않았다.

 

피해 사례

2020년부터 “DoppelPaymer” 랜섬웨어는 주로 자금이 충분한 기업 및 정부를 대상으로 유포되었으며, 많은 금액의 랜섬머니를 요구해 이득을 챙겼다. [그림 1]은 2020년부터 현재까지 피해를 입었다고 알려진 기업이며 최근에“DoppelPaymer” 랜섬웨어 운영진은 국내 자동차 기업의 미국 지사를 공격했다고 주장해 이슈가 되었다.

 

[그림  1] “DoppelPaymer”  랜섬웨어 피해 타임라인

 

항공 우주 및 자동차 제품 제조업체 Visser Precision 피해 사례

2020년 3월경, 제조업체 Visser Precision은 “DoppelPaymer” 랜섬웨어의 공격을 받아 데이터가 탈취됐다. 해당 랜섬웨어는 기업으로부터 탈취한 파일 목록과 탈취 문서 일부를 직접 운영하는 데이터 유출 사이트에 게시했다고 주장했다. 이에 대해 기업은 후에 동일한 피해가 발생하는 것을 예방하기 위해 이번 공격에 대한 조사를 계속하고 있으며 중지되었던 네트워크에 대해서는 정상적으로 운영되고 있다고 밝혔다.

 

캘리포니아 주 로스엔젤레스 카운티 피해 사례

캘리포니아 주의 로스엔젤레스 카운티가 2020년 4월경 “DoppelPaymer” 랜섬웨어의 공격으로 인해 약 650개의 데이터가 암호화 되었으며 200GB 이상의 정보가 탈취 되었다고 공지했다. 이에 로스엔젤레스 정부는 시민들의 개인 정보는 유출되지 않았고, 탈취한 데이터 및 복호화 툴 제공을 대가로 당시 70만달러에 달하는 비트코인을 요구했다고 밝혔다.

 

운송 및 물류 기업 TFI International, 영국 연구 대학 Newcastle Univ. 피해 사례

2020년 8월에는 TFI International의 Canpar Express 및 Newcastle 연구 대학의 데이터가 탈취 당했다. 탈취된 데이터에는 Canpar Express의 운영 관련 정보와 Newcastle 연구 대학의 학생 및 교직원 데이터가 포함되어 있다. 이를 증명하기 위해 “DoppelPaymer” 랜섬웨어 운영진은 다크웹에 극히 일부의 데이터를 게시한 사진을 보여줬으며, 이를 빌미로 랜섬머니를 요구했다.

 

조지아 주 정부, 전자 상거래 소프트웨어 플랫폼 X-Cart 피해 사례

2020년 10월 7일, “DoppelPaymer” 랜섬웨어는 조지아 주의 선거 시스템과 동년 10월 21일, X-Cart에서 호스팅하는 전자 상점을 공격했다. 이로 인해 랜섬웨어 측은 조지아 주의 선거 시스템에서 탈취한 1GB의 데이터가 탈취되었으며 2,464개의 장치를 암호화 했다고 주장했다. 또한, X-Cart 사는 다운된 전자 상점의 서버를 정상적으로 운영하고, 추후 발생할 문제에 대해 안전한 시스템을 확보하는 것이 목표라고 밝혔다.

 

대만 전자 제품 제조업체 Compal, 펜실베이니아 주 델라웨어 카운티, 전자 제품 업체 Foxconn 피해 사례

2020년 11월경, 대만의 Compal의 컴퓨터 약 30%가 랜섬웨어의 피해를 받았으며 회사 내부의 사무실 네트워크에만 영향이 있었다고 주장했다. 또한, 델라웨어 카운티는 “DoppelPaymer” 랜섬웨어 측으로부터 50만달러의 랜섬머니를 요구받았고, 이를 지불하기로 결정했다고 발표했다. 그리고 “DoppelPaymer” 랜섬웨어는 Foxconn의 약 1,200개의 서버를 암호화하고, 100GB의 암호화 되지 않은 파일을 탈취했으며 20-30TB의 백업본을 삭제했다고 발표했다.

 

대규모 포장 회사 WestRock 피해 사례

대규모 포장 회사 WestRock이 올해 1월 “DoppelPaymer” 랜섬웨어의 공격을 받아 IT망 뿐만 아니라 산업 운영 관리 시스템인 OT망까지 암호화 되었다. 연구원들은 최근 OT 네트워크에 접근하는 것이 점점 용이해지고 있으며 공격자들이 굳이 IT를 거치지 않고도 능숙하게 OT에 접근하고 있다고 주장했다. 이번 공격에 대해 기업은 업무 정상화를 위해 필요한 모든 자원을 투자하여 정상화로 돌리는데 최선을 다하고 있다고 밝혔다.

 

국내 자동차 기업의 미국 지사 피해 주장 사례

지난 2월 중순, 국내 자동차 기업의 미국 지사가 사이버 공격에 의해 고객 지원 서비스와 모바일 앱이 영향을 받았다. 이에 대해 기업 웹사이트에 내부 네트워크가 영향을 받아 IT 서비스 장애를 겪고 있다는 문구를 기재하였고, 추가적으로 랜섬웨어 공격이 아니라고 주장했다. 하지만 “DoppelPaymer” 랜섬웨어 측은 랜섬노트와 데이터 유출 사이트 스크린샷을 통해 본인들이 공격했다고 증명했으며 해당 랜섬노트에 의하면 약 3천만 달러의 랜섬머니를 요구하는 것으로 알려졌다.

 

“DoppelPaymer” 랜섬웨어 데이터 유출 사이트

“DoppelPaymer” 랜섬웨어는 탈취한 데이터를 게시하기 위해 자신들이 만든 사이트를 운영하고 있다. 해당 사이트에서 크게 “Proofs”와 “Leaks” 탭으로 나누어지는데, “Proofs” 탭은 기업 및 정부의 일부 데이터를 공개함으로써 자신들이 공격했음을 증명해 피해 기업 및 정부에 랜섬머니를 요구하는데 사용된다. 반면에 “Leaks” 탭은 피해 기업 및 정부가 랜섬머니를 지불하지 않았거나 비협조적인 태도를 보였을 때 탈취한 데이터에 대해 경매를 주최하기 위해 만들었다.

 

[그림  2] “DoppelPaymer”  랜섬웨어의 데이터 유출 사이트

 

네덜란드 연구위원회(NWO) 데이터 유출

NWO는 랜섬웨어 공격으로 인해 지난 2월 서버를 오프라인으로 전환했으며 연구 보조금 할당을 위한 프로세스를 중단하도록 공지했다. “DoppelPaymer” 랜섬웨어 측은 NWO가 이번 사이버 공격에 협조하지 않아 NWO 서버에서 탈취한 파일 12개를 유출하였다고 주장했지만 NWO 측은 공격자에게 랜섬머니를 지불하지 않기로 결정했다고 발표했다. 이에 따라 공격자는 데이터 유출 사이트 “Leaks” 탭에 탈취한 NWO의 데이터를 게시하여 경매를 통해 수익을 챙기려는 것으로 보인다.

 

[그림  3]  데이터 유출 사이트에 게시된  NWO  정보 및 탈취 데이터

 

캔턴 카운티 정부 계획 및 개발 서비스 부서(PDSKC) 피해 추정

올해 3월 10일 미국의 텍사스주에 있는 캔턴 카운티 정부의 계획 및 개발 서비스 부서(PDSKC)가 사이버 공격에 의해 네트워크 서버가 다운됐다. 이에 따라 [그림 4]와 같이 PDSKC의 웹 사이트를 접속하면 현재 네트워크 접속이 불가능하며 가능한 빨리 조치를 취하겠다는 문구와 함께 일부 서비스를 이용할 수 없다.

 

[그림  4] PDSKC  웹 사이트 공지

 

해당 사이버 공격을 조사하는 과정에서 “DoppelPaymer” 랜섬웨어가 운영하는 데이터 유출 사이트에 자신들이 PDSKC를 공격했다며 그 증거로 탈취한 데이터의 일부를 게시한 것으로 확인됐다. 이와 같이 “DoppelPaymer” 랜섬웨어의 공격을 받은 것으로 추정되는 PDSKC의 데이터는 현재 “Proofs” 탭에 게시되었으며 현재 협상이 진행 중일 것으로 예상된다. 하지만 아직 PDSKC 측의 공식 발표가 없어 정확한 상황을 알 수 없다.

 

[그림  5] “DoppelPaymer”  랜섬웨어 데이터 유출 사이트에 게시된  PDSKC 의 탈취된 정보

 

“DoppelPaymer” 랜섬웨어는 활동 시작부터 현재까지 꾸준히 많은 피해를 유발하고 있으며, 공격 대상으로 하는 기업의 규모가 크고, 요구하는 랜섬머니의 금액이 고액이라는 특징이 있다. 이에 대해 미국의 FBI는 “DoppelPaymer” 랜섬웨어 공격에 대한 경고와 주의를 당부했으며 피해 기업은 랜섬웨어 측에 랜섬머니를 지불하지 않도록 권장했다. 또한, 해당 랜섬웨어는 파일을 암호화하는 것뿐만 아니라 데이터를 훔쳐 기업에 이중으로 금액을 요구하므로 감염되지 않도록 보안에 신경 써서 사전에 예방해야 한다.