Offcanvas

랜섬웨어 / 보안 / 악성코드

“의료기관 노린다” 美 정부, 마우이(Maui) 랜섬웨어 경고

2022.07.11 John P. Mello Jr.  |  CSO
美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 기관들은 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 맬웨어를 사용하여 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다. 

FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 기관 측은 말했다. 
 
ⓒGetty Images Bank

연방기관들이 주의보를 발령한 한편, 위협 사냥, 탐지, 대응 회사 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면 “마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 마우이는 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보고 있다.”

마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다
보안 컨설팅 회사 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 언급했다. 그는 “시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이다”라고 말했다. 

이어 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다”라면서, “이는 중요한 파일만 표적으로 삼고 복구할 수 있게 하며, 운영체제 파일이 암호화됐을 때도 전체 서버를 다시 구축할 필요가 없는 랜섬웨어 그룹의 이른바 ‘선의(good faith)’를 보여준다”라고 맥거핀을 설명했다. 

그는 이 접근법이 자동화된 랜섬웨어에서 생성된 경고를 찾는 방어자의 눈을 멀게 할 수 있지만 성숙한 방어팀이라면 전체 환경이 암호화되기 전에 대응할 수 있으며, 시스템이나 환경을 처음부터 다시 빌드하는 대신 특정 폴더의 백업에서 복구할 수 있다고 덧붙였다. 

랜섬웨어는 수동 연구 및 분석이 필요하다 
IT 및 디지털 보안 운영 회사 넷엔리치(Netenrich)의 수석 위협 사냥꾼 존 밤베넥은 대부분의 지능형 맬웨어 운영자가 소프트웨어에 일부 수동 제어 기능을 구축한다고 말했다. 그는 “파괴적인 랜섬웨어 공격을 하려면 위협 행위자는 중요한 자산과 약점을 수동으로 식별해야 한다”라면서, “자동화된 (랜섬웨어) 도구로는 각 조직의 고유한 측면을 모두 식별하여 완전한 함락을 가능하게 할 수 없다. 일부 수동 연구 및 분석이 수반된다”라고 설명했다. 

AI 사이버 보안 회사 벡트라(Vectra)의 SaaS 보호 부문 CTO 애런 터너는 “북한이 마우이 캠페인에 연루돼 있다면 랜섬웨어 공격은 침입자의 2차 목표가 될 수 있다”라며, “이러한 선택적 암호화 사용으로 볼 때 마우이 캠페인은 단순한 랜섬웨어 활동이 아니다. 지적재산권 도용, 산업 스파이, 랜섬웨어를 통합 기회주의적 수익화 활동의 조합일 가능성이 크다”라고 전했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.