다크웹에서 유행하고 있는 랜섬웨어 도구 - 코아아이티

 

 안녕하세요. 코아아이티입니다. 최근에 랜섬웨어가 다시 기승을 부리고 있는데요. 이번에는 다크웹에서 유행하고 있는 랜섬웨어 도구가 어떤 것들이 있는지 살펴보도록 하겠습니다.

 

 보안 업체인 렐리아퀘스트(ReliaQuest)에서 사이버 공격자들이 즐겨 사용하는 도구 세 가지가 무엇인지 조사해 발표했습니다. 여기서 도구는 사이버 공격자가 타깃 시스템의 민감한 정보를 외부로 반출하는 데 사용되는 핵심 수단입니다.

 랜섬웨어 공격자들은 보통 데이터를 암호화해서 더 이상 사용할 수 없도록 하거나 데이터를 확보한 뒤 이 데이터를 공개하겠다며 협박을 합니다. 전자인 경우 주기적인 백업을 통해 협박에 응하지 않을 수 있지만 데이터를 공개하겠다거나 하는 협박을 한다면 협상 외에 방법이 없어 많은 피해자들이 발생하고 있습니다.

 

 렐리아퀘스트는 자사 사이트를 통해 "현재 다크웹에서 유행하고 있는 도구들이 있다" 라며 "특히 록빛(Lock Bit), 블랙바스타(Black Basta), 블랙수트(Black Suit)와 같은 악명 높은 랜섬웨어 단체들까지도 즐겨 사용하는 것들"이라고 설명했습니다. 렐리아퀘스트에서 발표한 많이 사용되는 도구 세 가지는 다음과 같습니다.

 

Rclone

 

 알클론은 사이버 공격자들 사이에서 높은 인기를 얻고 있는 도구입니다. 2023년 9월부터 2024년 7월까지 발생한 공격들을 렐리아퀘스트가 분석했을 때 약 57%에서 활용되기도 했다고 합니다. 알클론은 오픈소스 명령줄 유틸리티로 파일 전송 프로토콜 서버와 같은 다양한 프로토콜 스토리지 제공자 및 구축된 인프라와 파일을 동기화할 수 있습니다. 백업 유지 관리와 같은 합법적인 목적으로 개발된 정상 도구지만 공격자들이 더 선호하는 게 현실입니다.

 

 공격자들이 알클론을 선호하는 이유증 가장 큰 이유는 데이터 전송 기능이 빠르고 범용성 때문이라고 렐리아퀘스트는 설명합니다. 알클론은 다양한 클라우드 서비스(구글 드라이브, 아마존 S3, 메가 등)와 높은 호환성을 보여주며 또 윈도우, 리눅스, macOS에서 전부 잘 돌아가기도 합니다. 많은 기업들이 활용하고 있는 파일 저장 및 전송 서비스와 잘 어울리기 때문에 그만큼 정상과 비정상을 가려내는 게 힘듭니다.

 

WinSCP

 

 WinSCP는 윈도우용 오픈소스 파일 전송 유틸리티로 알클론과 유사한 기능을 제공하지만 사용자 친화적인 인터페이스를 가졌습니다. 앞서 말씀드린 알클론은 다양한 클라우드 스토리지 서비스에서 파일을 관리하도록 설계된 명령줄 도구지만 WinSCP는 로컬에서 원격 위치로의 전송이 가능합니다.

 

 WinSCP는 여러 기업들 사이에서 널리 사용되고 있는 합법적인 도구인 만큼 신뢰도가 높습니다. 그래서 엔드 포인트에 WinSCP가 설치되어 있다 한들 큰 의심을 불러일으키지 않는 게 보통입니다. 또 스크립팅 하기에도 용이하기 때문에 자동화로 응용하는 것도 간편하고, 또 수동으로도 전환이 가능합니다. 오류 처리와 로깅 기능 역시 사용자들 사이에서 호평을 받고 있고 공격자들 역시 이 기능을 꽤나 유용하게 활용한다고 합니다.

 

cURL

 

 알클론과 마찬가지로 명령줄 도구 중 하나로 URL 형태로 특정된 대상을 지정해 데이터를 전송할 수 있습니다. HTTPS, FTP, SFTP 등 다양한 프로토콜을 지원하기 때문에 데이터를 다운로드하거나 업로드하는 것 모두 간편하게 처리됩니다. 크로스 플랫폼이며 윈도우, macOS, 리눅스에서 사용이 가능합니다.

 

 알클론과 WinSCP에 비해 대규모 데이터 유출 작업에 안정적이지는 않지만 대상에 대한 주요 정보를 유출하는 데 매우 효과적인 도구입니다. 2024년 5월, '블랙바스타' 라는 악명 높은 랜섬웨어 그룹이 cURL을 활용해 한 조직으로부터 대량의 데이터를 빼돌린 사건이 있기도 했습니다.

 

 위 세 가지는 일반 기업과 기관들에서도 널리 사용되고 있다는 특징을 가지고 있어요. 그렇기 때문에 공격자들이 이 도구를 사용한다고 해도 특별히 이상할 것이 없어 보이며 실제로 경보가 울리는 사례도 드뭅니다. 하지만 많은 사용자들 사이에서 널리 쓰이고 있다는 건 어떤 면에서는 이러한 유명 도구를 사용할 때 그만큼 방어가 오히려 쉬울 수도 있습니다. 그래서 이 공격자들은 덜 흔한 도구를 사용하기도 하는데요. 렐리아퀘스트가 발견한 자주 쓰이는 도구 외 나머지는 다음과 같습니다.

 

메가 클라우드 스토리지

 

 MEGA는 클라우드 스토리지 및 동기화 솔루션으로 클라우드 스토리지와 연결된 모든 장비들에 같은 파일이 저장되도록 동기화를 해 줍니다. 20GB의 스토리지를 기본 제공하며 윈도우, macOS, 리눅스, 안드로이드 및 iOS에서 실행되는 클로스 플랫폼입니다. 또 사용자들은 메가 싱크(MegaSync)라는 애플리케이션을 통해 클라우드 스토리지에 액세스할 수가 있어요. 그 외에도 웹 클라이언트, 메가 CMD, 메가 API 등도 있는데요. 데이터 이동을 자동으로 할 수 있고 합법적인 서비스라 신뢰도가 높아 그만큼 공격자들에게는 큰 장점이 됩니다.

 

Restic

 

 Restic은 오픈소스 백업 프로그램으로 속도가 빠르다는 장점을 가지고 있고 사용하기 쉽도록 설계되었습니다. 알클론과 마찬가지로 다양한 클라우드 서비스와 호환되기 때문에 알클론을 사용하던 공격자들이 Restic을 번갈아 사용하기도 합니다. Restic 역시 사용자가 그렇게 적지는 않은 편이라 추적이 어렵고, 정상과 비정상을 가려내기 힘들다고 합니다.

 

 이렇게 최근에 사이버 공격자들이 즐겨 사용하는 도구가 무엇인지 알아봤는데요. 랜섬웨어는 개인부터 대규모 대상까지 언제 어디서든 예고 없이 우리의 민감한 정보를 위협할 수 있기 때문에 중요한 데이터는 꼭 백업하시고 의심스러운 메일과 링크는 특히나 주의하시며 보안 솔루션을 통해 보안을 제고해 여러분의 소중한 정보를 지키시길 바랍니다.

---

저희 코아아이티가 제공하는 보안 솔루션에 대해 보다 더 자세한 내용이 알고 싶으시다면

아래 메일이나 전화를 통해 말씀 주세요. 친절히 답변드리도록 하겠습니다.

 

IT의 모든 것, 코아아이티