DNS 비활성화 틈타 재빠르게 침투, 접속 및 제어권한 획득
스피어 피싱 이메일 악용, 네트워크 환경 감염, ‘QakBot’ 배포
키 입력과 자격 증명 등 데이터를 훔쳐내 ‘몸값’ 흥정 나서

(사진=어도비 스톡)
(사진=어도비 스톡)

[애플경제 이보영 기자]일종의 범죄집단 그룹을 만들어 공격하는 랜섬웨어 범죄자들 간에도 특히 특정한 시기에 극성을 떠는 부류들이 있다. 2주일 전부터는 새삼 ‘블랙 배스타’(Black Basta)라는 랜섬웨어 그룹들이 유난히 기승을 부리고 있다. 이들은 RaaS(Randomware-as-a-Service) 그룹을 만들어 개인이나 기업들이 DNS(도메인 네임 시스템) 기능이 비활성화되기 전 1시간 만에 네트워크를 손상시키고 중요한 데이터를 훔쳐내는 것으로 악명을 떨치고 있다.

사이버범죄 예방 전문 사이트인 사이버리즌(Cybereason)의 새로운 조사에 따르면 블랙 배스타 랜섬웨어 공격자들은 엄청나게 빠른 속도로 기업들이 미처 사이버 공격에 대응할 틈을 주지 않는 것으로 유명하다. 사이버리즌 보안관리팀에 의하면 이들 사이버 범죄자들은 부로가 2시간 이내에 공격 대상 네트워크 관리 액세스 권한을 얻었고, 12시간도 안 되어 ‘블랙 배스타’랜섬웨어를 배포하는데 성공했다.

사이버리즌 전문가들은 지난 24일 블로그 게시물을 통해 공격자들이 초기에 접속권한을 얻기 위해 ‘QakBot’ 뱅킹 트로이 목마를 사용하고, 대상 기업을 네트워크에서 차단하기 위해 DNS 기능을 농락하는 수법을 자세히 설명하기도 했다.

사이버리즌은 “이는 잠재적이면서도 광범위한 활동으로 인해 높은 수준의 위협을 초래할 수 있다”면서 “이로 인해 심각한 IT 인프라 손상으로 빠르게 이어질 수 있다”고 경고했다. ‘블랙 배스타’가 활발하게 준동하기 시작한 것은 정확히 11월 14일(월)부터인 것으로 파악되고 있다. 이는 애초 미국에 기반을 둔 기업이나 단체들을 대상으로 하고 있으나, 방심할 경우 다른 각국으로도 금세 확산될 것으로 우려된다.

이들 ‘블랙 배스타’ 그룹은 스피어 피싱 이메일로 시작하여 네트워크 환경을 감염시키고 피해자의 네트워크에서 존재감을 유지하기 위해 ‘QakBot’을 배포한다. ‘QakBot’은 키 입력과 자격 증명을 포함한 재무 데이터를 훔치는 데 사용될 수 있다. 사이버리즌 전문가들은 이에 도메인 컨트롤러에 대한 원격 제어권을 얻기 위한 다양한 수법도 파악해냈다. 이들은 블로그를 통해 “‘Qakbot’이 성공적으로 네트워크 환경을 감염시킨 후, 악성코드가 백도어를 설치해 추가 악성코드, 즉 랜섬웨어를 폐기할 수 있게도 한다”고 그 수법을 소개했다.

이들은 또 DNS 서비스를 비활성화하여 피해자를 네트워크에서 차단하는 행위를 일삼는다. 즉, 피해 기업이나 개인이 DNS를 종료하면 공격자는 ‘Active Directory’에 액세스할 수 있다. 사이버리즌 전문가들은 이를 “모든 윈도우 네트워크의 중앙 지점”이라고 설명했다. DNS 서비스가 오프라인 상태가 되면 관리자와 IT 지원이 네트워크에 접속할 수 없게 되는 점을 노린 것이다. 그래서 공격자는 네트워크에 남아 원하는 모든 작업을 수행하는 동안 회사의 대응 시간은 지체될 수 밖에 없다.

이때 공격자들은 ‘QakBot’을 사용, 초기에 획득한 접근권과 ‘블랙 배스타’의 RaaS 운영을 서로 조정, 시스템을 신속하게 손상시킬 수 있다. 그 보다 앞서 ‘블랙 바스타’는 또 다른 사이버 범죄세계의 중개인들로부터 접근권을 구입한 후 랜섬웨어를 배포하기 위해 그것을 활용했다. 전문가들은 “침투하는데 그토록 재빠르게 움직이는데도 불구하고, 이들 사이버 공격자들은 여전히 민감한 데이터를 검색하고 대량으로 수집하고 한다”고 전했다.

사이버리즌은 “지속적인 위협을 감지하고, 네트워크 격리나, 엔드포인트 탐지 및 대응 도구가 모두 새로운 ‘블랙 배스타’에 맞서 싸우는 중요한 구성 요소”라면서 “또한 또한 위협 활동이 억제되고 다른 시스템이나 네트워크의 일부로 확산되지 않도록 사고 대응을 수행하는 것이 중요하다”고 강조했다.

저작권자 © 애플경제 무단전재 및 재배포 금지