● 악성코드

랜섬웨어 공격자들 사이에서 유행하는 전략 때문에 무료 복호화 도구 나와

· 랜섬웨어에 당한 피해자들에게 희소식이 있다. 랜섬웨어 공격으로 암호화 된 파일 일부를 복구시켜주는 도구가 개발됐다는 것이다.

· 이 도구는 현재 깃허브를 통해 무료로 배포되고 있다. 모든 랜섬웨어로부터 몽땅 복구시켜주는 건 아니지만, 일부 파일의 경우 확실한 복구가 가능하다고 한다. 누구에게 돈을 낼 필요도 없고, 복호화 키를 확보할 필요도 없다.

· 이 도구를 이해하려면 먼저 랜섬웨어 운영자들이 어떤 식으로 공격을 하는지를 알아야 한다. 특히 ‘간헐적 암호화’라는 전략에 대한 이해가 필요하다. ‘간헐적 암호화’는 파일을 통째로 암호화 하는 게 아니라 가장 앞부분만(혹은 뒷부분) 암호화 하는 것을 말한다. 이렇게 함으로써 암호화의 속도를 높일 수 있다. 암호화의 속도를 높인다는 건 더 많은 파일에 영향을 줄 수 있다는 뜻이다. 블랙캣(BlackCat)이나 플레이(Play)와 같은 조직들이 이 전략을 활용한다.

스캔소스, 랜섬웨어 공격에 당해 현재 사업이 마비된 상태

· IT 외신 사이버뉴스에 의하면 하이브리드 클라우드 및 관련 기술 개발 업체인 스캔소스(ScanSource)가 랜섬웨어 공격에 당했다고 한다.

· 주말 동안 내부 기술 팀에서 먼저 발견했으며, 일부 시스템들이 마비되어 작동하지 않는다고 한다. 이 때문에 일부 사업 행위에도 차질이 생겨 진행되지 않고 있다.

· 하지만 고객들과 파트너사에게 전하는 사과 편지 외에는 사건에 대한 세부 내용을 공개하지 않은 상황이다. 피해가 어느 정도인지, 어떤 공격자들이 배후에 있는지, 어떤 방법으로 공격자들이 침투했는지 등은 알려진 바가 없다.

● 어플리케이션

수천만 대의 모바일 폰, 멀웨어에 감염된 채 유통된다

· IT 외신 레지스터에 따르면 전 세계에 유통되는 안드로이드 모바일 폰 중 적지 않은 수가 공장에서 출하되기 전부터 이미 멀웨어에 감염된다고 한다. 

· 중저가형 모델들에서 이런 현상이 자주 발견되고 있으며, 스마트워치와 스마트TV 등과 같은 제품들에서도 비슷한 일이 일어난다고 보안 업체 트렌드마이크로(Trend Micro)는 블랙햇 아시아 행사에서 밝혔다. OEM 형태로 제조되어 유통되는 장비들이 특히 이런 식의 공격에 취약한 것으로 분석됐다.

· 미리 감염된 상태로 출시되는 장비의 문제점은 2017년부터 꾸준히 제기되어 왔다. 하지만 제대로 된 조치가 취해지거나 산업 차원에서의 움직임은 전무하다시피 했다. 그래서 현재는 이 문제가 더더욱 커지는 중이다. 트렌드마이크로도 블랙햇 아시아에서 “새로운 현상을 발견했다고 발표한 게 아니라 우리가 잊고 있어서 심각해지고 있는 문제를 상기시킨 것”이라고 설명했다.

2년 이상 방치한 ‘구글 계정’ 12월부터 삭제된다

· 장기간 로그인하지 않은 휴면 지메일 계정이 올해 말부터 지워질 수 있다. 구글의 새로운 휴면 계정 정책에 따라 최소 2년 이상 사용하지 않은 ‘개인 계정’이 삭제될 수 있다. 보안을 강화하기 위한 조치라고 회사 측은 밝혔다. 

· 회사에 따르면 구글은 지메일(Gmail), 드라이브(Drive), 유튜브(YouTube), 포토(Photos)를 포함한 휴면 계정의 전체 데이터를 삭제할 수 있는 권한을 가지고 있다. 

· 삭제는 2023년 12월 1일부터 시작되며, 사전에 충분한 공지가 이뤄질 예정이다. 사용자는 지메일 주소와 파일에 등록된 복구 이메일 주소로 여러 차례 이메일 알림을 받게 된다. 삭제는 단계적으로 진행된다. 첫 번째 단계는 생성된 후 한 번도 사용되지 않은 계정을 대상으로 한다.

● 네트워크

새로운 ‘서비스형 피싱’ 페이지, 매우 그럴싸한 피싱 페이지 만들어 줘

· 보안 외신 해커뉴스에 의하면 다크웹에 새로운 피싱 공격 대행 플랫폼이 등장했다고 한다. 이 플랫폼의 이름은 그레이트니스(Greatness)이며, 주로 MS365를 사용하는 기업들을 표적으로 삼고 있는 해킹 그룹 혹은 해커들이 애용하는 편이라고 한다.

· 최소 2022년 중반기 즈음부터 사업 활동이 시작된 것으로 추정된다. 그럴 싸한 피싱 페이지를 대신 만들어주기 때문에 공격자들이 매우 편리하게 공격을 실시할 수 있게 해 주고, 그럼으로써 범죄로의 진입 장벽을 낮춰주고 있다.

· 현재까지 그레이트니스가 활용된 피싱 캠페인은 제조, 의료, 기술, 테크 분야를 주로 노리고 있다고 한다. 피해가 발견된 국가는 미국, 영국, 호주, 남아프리카공화국, 캐나다 등이며, 2022년 12월부터 2023년 3월까지 공격 수위가 최고조에 이르렀다고 한다.

"하루에 7개 기업이 털렸다"...지난해 데이터 탈취 공격 30% ↑

· 지난해 데이터 탈취 공격이 2021년 대비 30% 증가한 것으로 나타났다. 또한 일 평균 7곳의 새로운 피해 조직이 다크웹 유출 사이트에 이름을 올렸다.

· 팔로알토 네트웍스에 따르면 지난해 말까지 데이터 탈취 유형은 전체 사이버 공격의 70%를 차지한 것으로 집계됐다.

· 14일 글로벌 사이버보안 기업 팔로알토 네트웍스에 따르면 지난해 말까지 데이터 탈취 유형은 전체 사이버 공격의 70%를 차지한 것으로 집계됐다. '랏빗(Lockbit)'과 '블랙캣(Blackcat)' 등 기존 그룹이 전체 유출의 57%를 차지했다.

· 랜섬웨어 공격 그룹은 기업이 몸값을 지불하도록 다양한 탈취 수단을 사용해 압박한다. 데이터 탈취를 비롯해 암호화, 분산 서비스 거부(DDoS), 괴롭힘 등이다.

● 시스템

비안리안 랜섬웨어, 원격 데스크톱 기능 통해 들어온다

· IT 외신 레지스터에 의하면 FBI가 비안리안(BianLian) 랜섬웨어에 대한 경고를 계속해서 내보내고 있다고 한다. 내용은 거의 비슷하다. RDP나 그에 준하는 원격 데스크톱 서비스를 비활성화하라는 것이다. 그것이 비안리안이 가장 선호하는 침투 경로이기 때문이다.

· 최근에도 FBI와 CISA, 그리고 호주의 ACSC가 공동으로 비안리안에 대한 보안 권고문을 발표했다. 그 외에도 명령행 기능의 사용과 스크립팅 관련 행위들, 그리고 그러한 행위들을 할 수 있게 해 주는 권한들 역시 최소화 할 것도 권했다.

· 비안리안은 올해 초부터 파일 암호화 공격을 실시하지 않고 있다. 파일을 빼돌려 공개하겠다고 협박하는 것에만 집중한다. 즉 ‘이중 협박’이라고 불리는 랜섬웨어 전략의 한 축을 완전시 배제한 것이다. 그렇게 함으로써 공격을 더 빨리 진행할 수 있어 수익을 늘릴 수 있다는 계산이 깔려 있는 결정이다. 최근 여러 랜섬웨어 공격자들 사이에서 나타나는 현상이다.

리눅스 멀웨어 BPF도어의 강력한 변종, 해커들 사이에서 발견돼

· IT 외신 블리핑컴퓨터는 최근 BPF도어(BPFDoor)라는 리눅스용 멀웨어의 새로운 변종이 발견됐다고 보도했다. 암호화 기능이 강화됐고, 더 많은 리버스셸 통신 기능이 추가됐으며, 스텔스 기능도 더 강력해졌다고 한다. 공격자들은 BPF도어를 통해 피해자의 시스템에 오랜 시간 머무를 수 있으며, 그 시간 동안 각종 정보를 빼돌린다.

· BPF도어는 약 1년 전에 처음 발견됐지만 활동을 시작한 것은 최소 2017년인 것으로 분석된다. 최신 버전의 스텔스 기능이 얼마나 강화됐는지 바이러스토탈에 등록된 AV 엔진들로는 탐지가 되지 않는다고 한다. 새 버전이 바이러스토탈에 업로드 된 건 2023년 2월의 일이다.