분석 정보/랜섬웨어 분석 정보

추가 악성코드를 실행하는 랜섬웨어

TACHYON & ISARC 2021. 3. 24. 16:08

최근 원격 교육 및 업무의 비중이 늘어남에 따라 네트워크 사용빈도가 늘어나고, 광범위한 연결성을 가진 기업의 운영기술 환경(OT)이 많아졌으며 이러한 이유로 DDoS 공격이 효과적인 공격이 되었다. 이에 따라 DDoS 공격을 통해 금전을 요구하는랜섬디도스공격이 증가하였으며 랜섬웨어 공격 그룹은 추가적으로 DDoS 공격을 하겠다고 위협하기 시작했다.

암호 화폐의 가치가 높아지면서 불법적인 암호 화폐 채굴 악성코드가 성행하기 시작했고, 랜섬머니 이외의 추가적인 이득을 얻기 위해 랜섬웨어 공격 그룹은 랜섬웨어와 함께 암호화폐 채굴 악성코드를 실행시키는랜섬마이너가 다시 등장하였다.

이처럼 랜섬웨어는 더 많은 금전적 이득을 챙기기 위해 더 이상 파일 암호화에 국한되지 않고, 트렌드에 맞춘 악성코드를 추가하여 공격하는 등 진화를 거듭하고 있다.

 

랜섬디도스(RDDoS)

DDoS 공격은 공격자가 제어하고 있는 여러 대의 좀비 PC인 봇넷을 분산적으로 배치해 사용자 서버로 동시에 트래픽을 보내서 공격 목표로 삼은 서버의 서비스 장애를 유발한다. 이러한 일반적인 DDoS 공격에 감염된 서버 복구의 대가로 금전을 요구한다는 목적이 추가된 DDoS랜섬디도스(RDDoS)”라 칭한다.

최근 금융보안원은 “2021년 디지털금융 및 사이버보안 이슈 전망랜섬디도스에 의한 공격이 증가하고 있다고 발표했다.

[그림 1] 금융보안원에서 발표한 보안 이슈

 

  - 금융 기업, “Armada Collective” 해킹 그룹 주장 DDoS 피해 사례 

2020 8월 초, 한 금융 기업은 “Armada Collective” 해킹 그룹이라고 주장하는 메일과 함께 DDoS 공격을 받았다. 이로 인해 해당 기업의 UDP 기반 트래픽이 급증했고, 결국 서버가 다운되었다. 그리고 공격 이후에 받은 메일에는 서버를 복구하고 싶으면 5만 달러에 달하는 암호화폐를 지불하라는 내용이 담겨있었다.

 

[그림 2] Armada Collective 공격 주장 메일

 

  - 뉴질랜드 증권 거래소(NZX), DDoS 피해 사례

2020 8월 말, “뉴질랜드 증권 거래소(NZX)” DDoS 공격을 받아 거래 사이트의 속도가 현저히 느려졌다. 그 후 해당 기업 IT 책임자는 20만 달러에 달하는 암호화폐를 지불하라는 한 해킹 그룹의 메일을 받았다. 이에 대해 거래소는 거래 사이트에서의 증권 거래를 중단하기로 하였고, 국가 사이버 보안 기관에 조사를 요청했다. 그 후 다시 운영을 재개까지 4일이란 시간이 걸렸다.

 

 [그림 3] 뉴질랜드 증권 거래소(NZX) 거래 중지 공지

 

랜섬웨어 + DDoS

DDoS 공격을 통해 금전을 요구하는랜섬디도스와 달리랜섬웨어+DDoS”는 기존의 랜섬웨어를 이용해 파일을 암호화 한 뒤 랜섬머니 지불을 거절하면 DDoS 공격을 하겠다며 위협한다. 하지만 랜섬노트나 데이터 유출 사이트 게시판에 담긴 내용 외에 실제 DDoS 공격 가능 여부에 대한 확신은 없다. 최종적으로 DDoS 공격이 이루어진다면 암호화 된 파일의 복구, 탈취한 데이터 삭제, DDoS 공격을 빌미로 금전을 요구하는 삼중 갈취 전략으로 피해자와의 협상을 꾀한다.

 

[그림 4] 랜섬디도스 동작 과정

 

  - “Avaddon” 랜섬웨어, DDoS 공격 추가

Avaddon” 랜섬웨어의 경우 자신들이 만든 정보 유출 사이트 게시판에 협상이 결렬된 기업에 대한 정보를 공유하고, 자신들이 진행한 DDoS 공격에 의해 해당 기업의 사이트가 마비되었다는 내용의 글을 게시했다.

 

[그림 5] “Avaddon” 랜섬웨어 정보 유출 사이트 게시글

 

  - “REvil” 랜섬웨어, DDoS 공격 추가

REvil” 랜섬웨어 제작자는 판매 게시글에 파일 암호화와 함께 유료 서비스로 DDoS 공격을 추가 판매 중이며, DDoS 공격을 구매하면 전화 및 스팸 메일 서비스는 무료로 제공한다고 올렸다.

 

[그림 6] “REvil” 랜섬웨어 DDoS 추가에 관한 게시글

 

  - “RunExeMemory” 랜섬웨어, DDoS 공격과 함께 새로 등장

최근 새로 등장한 “RunExeMemory” 랜섬웨어는 암호화 동작을 마치고, 드랍하는 랜섬노트에 랜섬머니를 지불하지 않으면 DDoS 공격을 감행하겠다는 내용이 담겨있다.

 

[그림 7] “RunExeMemory” 랜섬웨어 랜섬노트

 

랜섬마이너

위에 설명한 것과 같이 DDoS 공격을 추가적으로 실행하는 랜섬웨어 외에도 “XMRig”와 같은 암호화폐 채굴 프로그램을 추가한 랜섬웨어를랜섬마이너라고 한다. 랜섬마이너는 감염된 PC의 자원을 무단으로 사용하여 암호화폐 불법 채굴을 통해 이득을 챙기는 동시에 파일을 암호화하여 추가적인 이득을 챙긴다. “랜섬마이너는 작년에 유행했다가 그 수가 적어졌으며 최근, 암호화폐의 가격 상승에 맞춰 다시 등장해 많은 사용자를 감염시켰다.

 

[그림 8] 랜섬마이너 동작 과정

 

  - 작년 유행했던 랜섬마이너

2020 8월경, 공격자가 사용자 PC RDP 액세스 권한을 획득한 후 “XMRig”라는 암호화폐 채굴 소프트웨어를 이용해 사용자의 PC에서 불법으로 암호화폐를 채굴하는 악성코드와 랜섬웨어 파일을 다운로드한 사례들이 있었다. 다운로드 한 파일은 사용자의 PC에서 불법적으로 암호화폐를 채굴하여 이득을 취하고, 랜섬웨어로 암호화된 파일을 빌미로 금전을 요구했다.

 

  - 최근 “ADShield Pro”로 다시 등장한 랜섬마이너

2021 3월 현재, “XMRig”를 이용한 불법적인 암호화폐 채굴과 함께 암호화된 파일을 빌미로 금전을 갈취하는 캠페인이 다시 등장했다. 해당 악성코드는 광고를 차단하는 프로그램인 “ADShield Pro”라는 이름으로 위장하여 유포되고 있으며카스퍼스키연구원은 2달만에 2만명 이상의 사용자가랜섬마이너에 감염되었다고 발표했다.

 

결론

CISA FBI에서 발표한 내용에 따르면 원격 교육 및 업무의 비중이 늘어나면서 DDoS 공격을 통해 서버를 마비시키고, 금전을 갈취하는 랜섬디도스 사례가 증가하고 있다. 또한, 암호화폐의 가치가 증가하면서 사용자의 PC에서 불법적으로 암호화폐를 채굴하는 악성코드가 다시 등장하여 성행하고 있다. 이에 따라 최근 유포되고 있는 악성코드 트렌드는 DDoS 공격과 암호화폐 채굴 프로그램을 이용한 공격으로 보인다.

랜섬웨어 공격 그룹은 기존에 행하던 공격보다 많은 금전적 이익을 남기기 위해 트렌드에 맞춘 DDoS 및 암호화폐 채굴 프로그램을 추가적으로 실행하여 공격하는 양상을 보여주고 있다. 랜섬웨어와 함께 실행되는 악성코드로 인해 파일 암호화 피해 외에도 사용자의 서버 및 PC를 사용할 수 없게 하거나 느려지게 하는 등의 추가 피해가 발생하므로 사전 예방을 위해 보안에 주의를 기울여야 한다.

 

출처

[1] 랜섬디도스의 증가 :

https://www.boannews.com/media/view.asp?idx=93505&page=1&kind=2

[2] Armada Collective DDoS 공격 주장 사례 :

https://www.link11.com/en/blog/threat-landscape/armada-collective-ddos-extortion/

[3] 뉴질랜드 증권 거래소 DDoS 공격 사례 :

https://www.bankinfosecurity.com/new-zealands-massive-ddos-attack-what-went-wrong-a-14980

[4] Avaddon 랜섬웨어 DDoS 공격 추가 :

https://www.bleepingcomputer.com/news/security/another-ransomware-now-uses-ddos-attacks-to-force-victims-to-pay/

[5] Revil 랜섬웨어 DDoS 공격 추가 :

https://securityaffairs.co/wordpress/115345/cyber-crime/revil-ransomware-ddos-voice-calls.html

[6] 랜섬마이너 재등장 :

https://www.boannews.com/media/view.asp?idx=95536