[보안뉴스]카스퍼스키 “러시아권 랜섬웨어 공격 그룹 ‘올드그렘린’ 활동 재개”

내용 요약

러시아계 랜섬웨어 그룹 OldGremlin이 제조·헬스케어·리테일·기술기업을 겨냥해 전력적 공격을 재개했습니다. Kaspersky가 새 공격 패턴을 탐지하며, 공격자는 1,700만 달러까지 몸값을 요구하고 데이터 유출·압박 전략까지 병행합니다.

핵심 포인트

• OldGremlin의 재등장: 과거 유명해진 그룹이 새 악성코드와 전술을 사용해 대규모 공격을 시도.
• 대상 범위 확대: 제조, 헬스케어, 리테일, IT 기업 등 핵심 산업에 집중.
• 전력적 방어 회피 및 이중 압박: 데이터 암호화뿐 아니라 유출된 정보를 공개 위협까지 동원.

기술 세부 내용

1️⃣ OldGremlin 공격 사이클

• 침투 단계
  1️⃣ 피싱/제로데이 – 정교한 이메일 마우스 클릭으로 악성 매크로 실행.
  2️⃣ Privilege Escalation – PSEXEC, Mimikatz 등 도구를 활용해 권한 상승.
  3️⃣ Credential Dumping – SMB, LSASS 메모리 스냅샷으로 비밀번호 확보.
• 배포 단계
  1️⃣ 내부 네트워크 전파 – SMB, RDP, PowerShell Remoting 등을 이용해 라이트닝 전파.
  2️⃣ 암호화 엔진 실행 – crypt.exe 같은 자체 개발 암호화 모듈이 파일을 비트코인 방식으로 암호화.
  3️⃣ 랜섬 노트 삽입 – RANSOM.txt에 요구 금액, 마감 기한, 지불 지침 제공.
• 압박 단계
  1️⃣ 데이터 유출 – 암호화 전, 주요 파일을 스캔해 외부 S3, FTP에 업로드.
  2️⃣ 이중 압박 – 암호화와 유출된 데이터 공개 위협을 동시에 실행.
  3️⃣ 마감 기한 – 72~120시간 내에 몸값 지불을 요구.

2️⃣ 이중 압박(Double Extortion) 메커니즘

• 암호화
  • AES-256+RSA-4096 복합 키 사용, 파일명 해시와 함께 보안 메타데이터 저장.
  • *.tmp 혹은 ~$ 파일을 남겨, 복호화가 어려운 상태 유지.
• 데이터 유출
  • CVE-2023-xxxx와 같은 취약점 활용해 내부 데이터베이스에 직접 접근.
  • 압축·암호화 후 SFTP, HTTPS 백엔드에 업로드, Cloudflare Worker를 통한 트래픽 숨김.
• 위협 전파
  • Dark Web에 업로드된 “Data Dump”를 공개.
  • 공격자가 SNS, 암호화 채팅(WhatsApp, Signal)으로 피해자에게 직접 연락, 협박.

3️⃣ 방어 방안 & 대응 가이드

• 침투 차단
  • 다단계 인증(MFA) 적용, Zero Trust 네트워크 접근 정책.
  • EDR(Endpoint Detection & Response)에서 비정상적 PowerShell 스크립트 감지.
• 배포 차단
  • SMB v1 비활성화, RDP 인증서 관리 강화.
  • 파일 탐지 엔진(AV)에서 “.exe+DLL” 매치 시 경고 설정.
• 압박 대응
  • 백업: 3-2-1 규칙 적용(오프라인, 클라우드, 주기적).
  • 복구 테스트: 복호화 키를 안전하게 분리 보관하고 주기적 복구 시뮬레이션.
  • 법적/조세: 지불 전 법적 자문과 세무 조언을 구해 인식 조정.
• 보안 인식 교육
  • 피싱 시뮬레이션을 월간으로 시행, “구매 승인” 메일 검증 절차 교육.
  • 공격 사례 공유와 사내 보안 문화 강화.

Kaspersky는 지난 8일 발표에서 “OldGremlin의 새 악성코드가 2024년 1분기 내에 미국·EU의 주요 제조 및 헬스케어 기업을 노렸습니다”라고 밝혔습니다. 최신 패치와 보안 업데이트를 즉시 적용해 사전 예방이 핵심입니다.

 

출처: http://www.boannews.com/media/view.asp?idx=139126&kind=&sub_kind=