Offcanvas

랜섬웨어 / 보안

‘콘티의 진화?’ 새 랜섬웨어 해킹 그룹 ‘로얄’의 유동적 암호화 수법

2022.12.15 Lucian Constantin  |  CSO
새로 나타난 랜섬웨어 해킹 그룹 ‘로얄(Royal)’은 올해 5월 활동을 중단한 콘티 그룹과 비슷한 간헐적 암호화(partial encryption) 수법을 쓰지만, 한 단계 진화했다. 암호화 비율을 유동적으로 조정해 보안 프로그램의 수사망에서 벗어난다.
 
ⓒCybereason

올해 초 ‘로얄(Royal)’이라는 이름의 새로운 랜섬웨어 그룹이 나타났다. 이 그룹은 지난 몇 달 동안 활발히 활동하며 파일을 빠르게 마음대로 암호화할 수 있는 자체 랜섬웨어 프로그램을 개발했다. 

미국의 엔드포인트 보안 솔루션 업체 사이버리즌(Cybereason)은 최근 게재한 분석 보고서에서 “2022년 초부터 활보한 ‘로얄’ 랜섬웨어 그룹이 모멘텀을 얻었다”라며 “이 그룹은 다수의 TTP(Terrorist Tactics, Techniquies and Procedures; 테러 전술, 기술 및 절차)를 활용해 전 세계에 걸친 여러 조직을 공격했다. 이미 알려진 다른 랜섬웨어 그룹과 유사한 행태를 보여 이전 구성원들로 이루어져 있는 것으로 추정된다”라고 설명했다. 
 

로얄 랜섬웨어 그룹의 공격 수법 

로얄 랜섬웨어 그룹의 공격 수법은 콘티와 비슷하다. 따라서 2022년 5월에 콘티 그룹이 운영을 중단하고 나서 구성원 중 일부가 로얄 랜섬웨어 그룹을 새로 만들었을 거라는 의혹이 제기됐다. 올해 1월 처음 나타났을 때 로얄 그룹은 블랙캣(Blackcat)이나 지온(Zeon) 같은 서드파티 랜섬웨어 프로그램을 썼지만, 9월쯤에는 자체 파일 암호화 프로그램을 쓰기 시작했다. 

그 이후 다양한 산업 분야에서 피해자가 나타났으며, 그중 하나는 영국 런던의 실버스톤 자동차 경주 서킷이었다. 대부분 피해는 미국에서 발생했고 11월이 되자 로얄 랜섬웨어는 록비트(Lockbit)를 넘어 가장 위협적인 랜셈웨어로 자리잡았다. 

로얄 그룹은 피싱을 초기 공격 벡터로 사용하며, BATLOADER, Qbot과 같은 서드파티 로더로 랜섬웨어를 배포한다. 초기 접근에 성공하면 코발트 스트라이크(Cobalt Strike) 임플란트를 배치하고 침투한 환경에서 측면 이동 공격을 시행해 랜섬웨어 페이로드를 떨어뜨릴 준비를 한다. 
 

암호화 비율 바꿔 수사망 벗어난다 

해커는 크게 세 가지 명령행 인자(command line argument)로 랜셈웨어 프로그램을 실행한다. 암호화할 경로는 지정하는 인자, 모든 파일 콘텐츠의 암호화 비율을 지정하는 인자, 그리고 공격 대상을 식별하기 위해 고유 ID를 생성하는 인자가 있다. 
 
ⓒCybereason

실행 시 프로그램은 먼저 vssadmin.exe 윈도우 유틸리티를 시작해 파일 시스템의 모든 섀도 복사본을 삭제한다. 이는 대부분의 랜섬웨어 애플리케이션이 윈도우 백업 메커니즘에서 파일 복구를 방지하기 위해 사용하는 흔한 루틴이다. 다음으로 암호화 루틴에서 제외할 여러 파일 형식과 디렉터리를 설정한다. 여기에는 실행 파일, OS 작동을 방해하지 않는 전체 윈도우 폴더, 피해자가 토르(Tor) 네트워크에서 그룹의 랜섬 포털에 액세스하는 데 필요한 토르 브라우저 폴더가 포함된다.

그런 다음 프로그램은 네트워크 스캔을 시작해 같은 네트워크에 있는 컴퓨터를 식별한 뒤 SMB 프로토콜로 연결을 시도해 같은 폴더를 공유하는지 확인한다. 이는 컴퓨터의 로컬 파일 외에 암호화할 외부 네트워크 파일 공유 목록을 작성하기 위함이다. 

암호화 프로세스는 다중 스레드이며, 스레드 수는 일반적으로 시스템에 나열된 CPU 코어 수의 두 배다. 파일 암호화는 AES256 암호를 사용하는 오픈SSL(OpenSSL) 라이브러리를 통해 수행되며 각 파일의 AES 암호화 키는 랜섬웨어 프로그램에 하드코딩된 공개 RSA 키로 암호화된다. 이렇게 하면 오직 공격자만이 자신이 소유한 개인 RSA 키를 사용해 AES 키를 복구할 수 있다.

파일을 암호화하기 전에 랜섬웨어 프로그램은 윈도우 관리자로 대상 파일이 현재 다른 서비스나 응용 프로그램에서 사용되고 있는지 확인하고, 해당 응용 프로그램이 있는 경우 해당 응용 프로그램을 종료한다. 그런 다음 암호화를 위해 파일을 잠근다. 

이 암호화 방식에서 특이한 점은 5.245MB보다 큰 파일을 명령줄 인수로 전달된 백분율을 기준으로 간헐적으로 암호화하는 방식이다. 간헐적 암호화 자체는 새로운 수법이 아니며 다른 랜섬웨어 프로그램도 프로세스 속도를 높이기 위해 이 방법을 사용한다. 그러나 암호화할 파일의 크기를 지정하는 방식이 다르다. 이 공격 방식은 파일의 변경 사항을 모니터링해 랜섬웨어 공격을 포착하는 보안 프로그램에 영향을 끼칠 수 있다. 

사이버리즌 연구진은 "결과적으로 암호화된 파일의 비율이 낮게 나타나 랜섬웨어 탐지 프로그램의 수사망을 빠져나갈 가능성이 상대적으로 더 크다“라고 설명했다. 

이 암호화 매커니즘과 더불어 로얄 그룹이 쓰는 전술은 콘티와 유사하다. 예컨대 콘티 랜섬웨어는 간헐적 암호화를 위한 임계값을 5.24MB으로 설정한다. 그다음 파일을 여러 개의 같은 파일 크기로 나눈 다음 하나는 암호화하고 하나는 건너뛴다. 다른 점은 비율이다. 콘티는 50%의 일관적인 비율로 간헐적 암호화를 수행했기 때문에 랜섬웨어 탐지 프로그램이 쉽게 패턴을 포착할 수 있었다. 

이 때문에 사이버리즌 연구진은 “로얄 랜섬웨어 해커가 콘티 그룹과 연결되어 있을지도 모른다는 의혹을 제기할 수는 있지만 확정하기는 어렵다”라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.