랜섬웨어 최신 공격 동향과 RaaS 공격 그룹 리스트 등 현황 정리

22년 4월 코스타리카 재무부와 관세청, 과기부 등 정부 기관과 공공기관들이 러시아 해킹 그룹 CONTI에게 공격을 당했습니다. 관세청은 수출입 관련 업무와 재무부 급여, 연금, 세금 납부 등이 마비되어, 세금 납부 기간 연장 등을 허용하고 있습니다. 일부 공공 기관에서는 메일 시스템 등에서 업무 지장을 초래했습니다. 

 

공격 그룹은 러시안 해킹 그룹 CONTI에 따르면 그들은 800개 서버에 접근 권한을 획득했고, 1TB 데어터를 확보했다고 합니다. 탈취했다고 밝힌 자료는 세금 관련 자료 900GB와 재무부가 관리 중인 개인정보 등 100GB의 데이터를 확보했다고 공개하며 일부 자료를 공개하기 시작하고 있습니다.

랜섬웨어 최신 공격 동향과 RaaS 공격 그룹 리스트 등 현황 정리

러시안 해킹 그룹 CONTI의 공격 이유는 두 가지로 나누고 있습니다.

 

첫 번째 추청 원인은 금전을 노린 것으로 1천만 달러 금액이라고 밝혀지고 있으나, 1천만 달러는 CONTI에서 공개한 금액이 아니며, SNS에 등에 비공식으로 유포되는 금액이라 확인되지 않고 있음. 코스타리카 Carlos Alvarado 대통령은 사이버 범죄에 어떠한 것도 지불할 수 없다고 밝혔으니 금액 언급이 없음

 

두 번째 추정 원인은 러시아 침공에 대한 반대 의사를 표명한 친미국가 중에 보안이 가장 허술한 국가 중 하나인 코스타리카를 공격했다는 설도 있습니다. 코스타리카 대통령실에서는 현재 미국과 스페인, 이스라엘에서 시스템 복구를 지원하고 있다고 밝혔고, 유출된 자료에 따른 보완 조치를 실시하고 있다고 합니다.

 

이렇게 추정하는 이유는 CONTI는 러시아의 우크라이나 침공 지지를 선언했었고, 현재 CONTI 내부에는 역으로 러시아 침공에 반감을 가진 그룹들에 의하여 내부 정보가 유출되고 있다고 알려졌기 때문입니다. 

 

1. 최신 랜섬웨어 공격 방식은 RaaS(Ransomware as a Service) 형태

 

최근 랜섬웨어 공격은 개발자와 공격자가 역할 분담하는 RaaS(Ransomware as a Service) 형태가 대세를 이루고 있음. RaaS는 SaaS(Software as aService)에서 모방한 공격 모델입니다.

 

SaaS가 인프라 제공 그룹과 사용자가 효율적으로 비즈니스를 하는 것처럼 RaaS는 개발자와 공격자가 역할을 분담해서 해킹 공격을 감행하고 공격 성공 시 성공보수를 서로 나누는 방법입니다.

 

이 랜섬웨어 그룹은 RaaS Operator(개발자 그룹)와 RaaS Affiliates9(공격자 그룹) 두 개 그룹으로 나눠있고, 주도권은 RaaS Operator에게 있습니다.

 

RaaS Operator 그룹은 포럼을 통해 RaaS Affiliates 모집하고 정보 교류 및 훈련 등을 제공하며, 심지어 SaaS처럼 24/7 서비스를 RaaS Operator 그룹은 RaaS Affiliates에게 다양한 랜섬웨어 공격용 툴을 제공하고 있습니다.

 

RaaS Operator와 RaaS Affiliates간 랜섬웨이 라이선스 방법

2. RaaS Operator와 RaaS Affiliates 간 랜섬웨어 라이선스 방법 

 

첫째는 매월 40달러를 정기 지불하는 랜섬웨어 KIT 라이선스 혹은 트라이얼 버전으로 교육 훈련 등 제공 

 

둘째는 제휴 프로그램(Affiliate programs) 방식으로 월 사용료 + 이익 공유 형태로 라이선스 제공

* 보통 개발자 그룹은 성공 보수의 20-30% 배분 받음

 

셋째는 1회 단발성 라이선스 프로그램으로 성공 시 개발자 그룹과 이익 공유 없음

 

넷째는 순수 이익 공유 프로그램으로 라이선스 요금 없지만 성공 보수의 70%를 개발자 그룹이 배분

 

 

3. RaaS Operator와 RaaS Affiliates 랜섬웨어 공격 역할 분담 

RaaS Operator와 RaaS Affiliates 랜셈웨어 공격 분담 내용

4. 랜섬웨어 RaaS kits 종류들

 

Locky, Goliath, Shark, Stampado, Encryptor and Jokeroo 등이 있고, 개발자 그룹들은 계속 형태를 변형하고 있고 일부는 소스코드는 동일하나 암호 함수만 변경하여 암호키만 다른 변종들이 계속 나오고 있음

유명한 RaaS 그룹

 

5. 랜섬웨어 RaaS 공격 그룹 리스트 

 

   5.1 DarkSide(Carbon Spider로 알려진 사이버 범죄 그룹과 연계)

    - 주로 패치가 안 된 기업의 윈도 환경에서 공격을 하는 그룹이나 최근 리눅스로도 사업 범위를 확대하고 있음

 

   5.2 REvil(Pinchy Spider라는 범죄 그룹에서 판매)

    - 최대 11천만 달러까지 몸값을 요구했던 RaaS로 성공 보수의 40% 요구

    - Revil은 빼낸 자료의 샘플 버전으로 블로그에 공개하면서 공격자를 협박하는 방식을 취함. 대중에 유출 내용을

      공개하기 전에 블로그에 카운트다운 타이머 장치를 설정하여, 시간이 지나면 유출되도록 함

    - 몸값 지불하지 않을 시 디도스와 2차 공격을 감행하기도 함

 

   5.3 Dharma(금전 탈취 이란계 그룹)

    - 2016년부터 활동하는 중이며 주로 RDP(remote desktop protocol) 취약 점을 공격하며 보통 1-5개의 비트코인을

     요구하며, REvil과 달리 중앙 집권적 체제가 아닌 것으로 알려짐

   - Dharma는 유사 코드가 가장 많이 나와 있고, 대부분 암호 함수의 킷값만 다른 변종들임

 

   5.4 CONTI(러시아계로 민족주의 성향)

     - 21년 아일랜드 보건부를 공격하여, 진료와 수술 등을 취소하게 만듬

     - 22년 코스타리카 재무부와 과기부 등을 공격하여 세금, 연금, 수출입 업무 마비시킴 

     - 러시아의 우크라이나 침공 지지 선언한 친러 민족주의 성향

 

랜섬웨어 최신 공격 동향 결론 및 대응 방안 

    - 랜섬웨어 공격은 RaaS형태로 진화되면서 더 많은 공격자 그룹이 양산되고 있음

    - 투자 대비 성공 보수(수천 달러 투입 비용으로 최대 천만 달러 가능)가 높아 금전 목적 공격 확대

    - 랜섬웨어 성공보수는 2021년 기준 600만 달러였으니 최근 1천만 달러 이상으로 요구 금액이 증가 추세이고, 

      피해액만 200억 달러가 넘는 것으로 추정됨

    - 기업들의 보안 투자는 확대될 수밖에,  이 경우 사이버 보안회사의 매출은 증가할 수밖에 없음

클라우드 보안 신규 강자인 마이크로소프트와 사이버 보안 세계 1위인  시스코 시스템은 사이버보안 투자 유망 기업

사이버 보안 투자유망 마이크로소프트와 시스코 시스템으로 판단함.

 

클라우드 보안 신규 강자인 마이크로소프트는 클라우드 사업 확대로 보안 분야 매출이 급증하고 있으며, 사이버 보안 세계 1위인 시스코 시스템은 기존의 네트워크 장비 시장 지배력을 바탕으로, 보안 투자를 확대 중입니다  

 

시스코는 클라우드 기반의 통합 액세스 제어 보안업체인 듀오 시큐리티(Duo Security)를 23억 5,000만 달러에 인수했고, 사이버 보안 비즈니스에서도 성장률이 9%에 달하고 있습니다. 특히 시스코가 강조하는 클라우드 기반의 보안 서비스인 시큐어 엑스(SecureX) 등에서 빠른 성장을 기대할 수 있습니다.

 

 

보안 기업 투자 성패도 머리가 아니라 엉덩이로 결정됩니다. 머리도 결정된다면 하버드 출신이 다 재벌되지만 실제 그렇습니까? 투자의 세계는 머리 대신 엉덩이로 진득하게 버티는 멍청하고 게으른 투자자가 성공 확률이 더 높습니다. 

 

https://develop-my-life.tistory.com/81

엉덩이 투자법, 멍게 투자법, 머리 대신 엉덩이로 투자하는 게으른 투자법

 

배당성장 ETF에 월 200달러를 30년 꾸준하게 투자하면 누구나 10억은 거뜬하게 벌 수 있습니다. 조급하지 말고 소액을 꾸준히 적립식으로 모아가는 방법이 천하무적입니다.

 

https://develop-my-life.tistory.com/99

배당성장 SCHD ETF에 30년 투자 결과 - 소액 투자로 부자는 법

 

본 포스팅은 투자 권유나 종목 추천 목적이 아닙니다. 투자 판단과 결정 책임은 투자자에게 있습니다.