미국 연방수사국(FBI), 사이버보안 및 인프라 보안국(CISA), 호주 사이버 보안 센터(ACSC)가 공동으로 발표한 최근 권고문에서는 비안리안 랜섬웨어 및 갈취 그룹의 높아진 위협에 대해 자세히 설명합니다. 2022년 6월부터 활동 중인 이 사이버 범죄 그룹은 랜섬웨어 몸값을 위해 피해자 파일을 암호화하던 기존 방식에서 이제는 협박과 갈취를 목적으로 손상된 데이터를 유출하는 방식으로 전환한 것으로 보입니다.
일반적으로 유효한 원격 데스크톱 프로토콜(RDP) 자격 증명을 통해 액세스 권한을 획득하는 비안리안의 랜섬웨어 캠페인은 교육, 의료, 중요 인프라, 은행, 금융 서비스 및 보험, 미디어 및 엔터테인먼트, 제조 및 기타 업종에서 잘 알려진 조직을 표적으로 삼았습니다.
이 권고에 따르면, "비안리안 그룹은 피해자가 몸값을 지불하도록 압력을 가하기 위해 추가적인 기술을 사용하며, 예를 들어 손상된 네트워크의 프린터로 몸값을 요구하는 메모를 인쇄합니다. 또한 피해 기업의 직원들은 비안리안 그룹과 관련된 개인으로부터 협박 전화를 받았다고 보고했습니다."
그림 1. 비안리안 샘플 랜섬노트
각 정보 기관에서 제공하는 많은 주의 사항과 권장 사항 중에서 이 권고문은 공격 표면을 줄이고 무단 측면 이동의 기회를 차단하기 위해 "... RDP 및 기타 원격 데스크톱 서비스 사용을 엄격하게 제한"하는 조직의 중요성에 대해 설명합니다. 이는 다른 대부분의 랜섬웨어 그룹과 달리 비안리안 그룹은 원치 않는 피싱 이메일에만 의존하는 정통적인 전술, 기법 및 절차(TTP)가 아닌 원격 액세스 도구의 기술적 악용에 주로 의존하기 때문에 특히 중요합니다.
데이터 유출에 더욱 중점을 둔 이 최신 BianLian 랜섬웨어 변종은 "파일 전송 프로토콜과 클라우드 스토리지에 파일을 동기화하여 데이터를 유출하는 데 사용되는 도구인 Rclone을 사용합니다. FBI는 BianLian 그룹 행위자들이 일반적으로 확인되지 않은 일반 폴더에 Rclone 및 기타 파일을 설치하는 것을 관찰했습니다... ACSC는 BianLian 그룹 행위자들이 메가 파일 공유 서비스를 사용하여 피해자의 데이터를 유출하는 것을 관찰했습니다."
이러한 사고가 발생하는 이유는 무엇인가요?
오늘날 랜섬웨어 자체의 위협 벡터는 "새로운" 것으로 간주되지 않습니다. 데이터가 있는 곳에는 위협 행위자가 이 민감한 정보를 인질로 잡고 해제를 위해 금전을 요구할 수 있는 여지가 있습니다. 이 개념은 랜섬웨어의 첫 사례 중 하나로 '에이즈 바이러스' 변종이 등장했던 멀웨어 감염 초기로 거슬러 올라갑니다.
피해자 조직이 기존의 랜섬웨어 금전 요구에 대해 더 엄격한 입장을 취함에 따라 랜섬웨어 그룹 사이에서 갈취 및 데이터 탈취 방식이 계속 인기를 얻고 있습니다. 이 개선된 '수법'을 통해 위협 행위자는 초기 액세스 권한을 확보하고, 피해자의 네트워크에서 측면으로 이동하여 이후 유출을 위한 중요/가치 있는 데이터를 찾고, 랜섬웨어 페이로드를 배포하고, 궁극적으로 요구 사항을 실행합니다. 이 시점부터 피해 조직이 초기 몸값을 지불하지 않으면 위협 행위자는 훔친 데이터를 온라인으로 유출하겠다고 협박합니다.
안타깝게도 사이버 범죄자들과 그들의 위협 캠페인 사이에서 이 새롭고 개선된 이중 갈취 모델은 피해 시스템의 암호를 해독하고 피해자의 훔친 데이터를 유출하지 않는 대가로 별도의 대가를 요구하는 방식으로 더욱 강력한 영향력을 얻고 있습니다.
무엇을 할 수 있나요?
최소한 기본 보안 가이드라인과 다단계 인증은 가능한 한 활성화하고 사용해야 합니다. 앞서 언급한 권고안에서는 이를 "피싱 방지 다단계 인증"이라고 구체적으로 명시하고 있습니다. 비안리안은 정적이고 유효한 자격 증명이 어떻게 획득되고 악용되어 피해자의 인프라에 더 쉽게 접근할 수 있는지를 보여주는 또 다른 예입니다.
랜섬웨어는 이름에서 알 수 있듯이 주로 피해 조직의 데이터를 인질로 삼아 몸값을 요구하는 데 중점을 둡니다(추측할 필요는 없습니다). 어떻게? 일반적으로 피해자의 파일을 암호화하는 방식으로 이루어집니다. 위협 그룹의 암호화 알고리즘을 사용하여 조직의 파일이 인질로 잡힌 경우 Avast 팀은 피해자가 무료로 암호화된 데이터를 검색하고 공격자에게 몸값을 지불하지 않도록 돕기 위해 BianLian 전용 암호 해독 도구를 개발했습니다.
또한 조직은 적절한 플랫폼에서 알려진 침해 지표(IOC)를 활용하여 비안리안 감염을 탐지, 치료 및 예방할 것을 강력히 권장합니다.
각 정보 기관이 권고문에서 지적했듯이 공격 표면 감소는 고려해야 할 중요한 위험 완화 기술이며, 특히 측면 이동이 또 다른 일반적인 TTP로 보이는 경우 더욱 그렇습니다. RDP 및 원격 데스크톱 서비스를 엄격하게 제한하는 것은 Lapsus$ 및 Venus와 같은 최근 위협에 대해 제공되는 일반적인 권장 사항이며, BianLian도 마찬가지로 심각하게 고려해야 할 사항입니다.
당연히 오늘날의 조직은 원격 액세스 서비스와 기능에 크게 의존하여 인력이 분산된 환경에서도 업무를 수행하고 협업할 수 있도록 합니다. 따라서 기존 RDP 도구를 단순히 '없애버리는' 강압적인 접근 방식은 실현 불가능할 수 있습니다. 대신 조직은 가능한 한 원격 데스크톱 사용 및 악용과 관련된 근본적인 위험을 완화할 수 있는 방법을 찾아야 합니다.
예를 들어, 모든 리소스에 대한 액세스가 기본적으로 거부되는 Zero Trust Network Access (ZTNA)의 원칙을 준수하면 공격 표면을 줄이는 데 큰 도움이 될 수 있습니다. 내부에 있든 원격에 있든 모든 사용자와 디바이스는 안전하지 않고 위험한 것으로 간주되며, RDP 연결 서비스를 비롯한 민감한 비공개 리소스에 대한 액세스를 허용하기 전에 신원과 보안 상태를 확인해야 합니다.
ZTNA를 사용하면 소프트웨어 정의 경계를 생성하고 기업 네트워크를 여러 마이크로 세그먼트로 나눌 수 있습니다. 유효한 로그인 키를 가진 모든 사용자에게 기본 네트워크 전체가 아닌 특정 애플리케이션과 내부 리소스에 대한 '최소 권한' 액세스만 허용함으로써 공격 표면이 크게 줄어들어 손상된 계정이나 디바이스에서 위협이 측면 이동하는 것을 방지할 수 있습니다.
참조: