카스퍼스키가 러시아어권 랜섬웨어 그룹 ‘올드그렘린(OldGremlin)’의 활동 재개를 탐지했다. 이번 공격은 제조, 헬스케어, 리테일, 기술 기업을 대상으로 진행됐으며 과거 단일 피해자에게 최대 1700만 달러를 요구했던 전력이 있는 그룹이 다시 떠올랐음을 의미한다.
카스퍼스키는 올해 초 위협 리서치팀이 올드그렘린의 새로운 공격을 확인했다. 공격자는 처음으로 몸값 요구 문서와 파일 경로에 ‘OldGremlin’이라는 명칭을 직접 사용했으며 툴킷은 윈도우 보안 기능을 비활성화해 자체 드라이버를 실행하고 명령 수행에는 노드.js(Node.js)를 활용한다.
카스퍼스키 연구진은 해당 툴킷이 네 가지 주요 구성요소로 이뤄져 있음을 확인했다. 감염된 컴퓨터를 원격으로 제어할 수 있는 ‘원격 접근 백도어’, 합법적 윈도우 드라이버 취약점을 악용해 악성 드라이버를 로드하는 ‘패처(Patcher)’, 파일 암호화를 담당하며 진행 상태를 보고하는 ‘마스터’, 암호화 중 네트워크 격리와 몸값 문서 배포를 수행하는 ‘클로즈더도(Closethedoor)’다.
카스퍼스키의 야니스 진첸코 위협 리서치 전문가는 “올드그렘린 그룹은 백도어, EPP/EDR 무력화 도구, 암호화 트로이목마를 포함한 툴셋을 발전시켜 왔다. 또한 합법적인 툴과 취약한 드라이버까지 공격에 활용하고 있다. 이러한 위협과 고도화된 공격에 대응하기 위해 기업의 보안 요구에 맞춰 확장 가능한 카스퍼스키 넥스트(Kaspersky Next) 제품군을 도입하는 것을 권장한다. 이는 실시간 보호와 함께 EDR 및 XDR 기능을 제공해 조직이 보안을 한층 강화할 수 있도록 지원한다”라고 말했다.
이효은 카스퍼스키 한국지사장은 “한국의 빠른 기술 산업 발전은 사이버 공격의 주요 표적이 되고 있으며 올드그렘린과 같은 그룹은 합법적 툴과 악성 드라이버를 혼합해 공격 체인을 지속적으로 고도화하고 있다. 이에 기업들은 역동적인 방어 체계를 반드시 구축해야 한다. Kaspersky Next 제품군은 이러한 목적을 위해 설계된 확장 가능한 솔루션으로 복잡한 사이버 환경에서 선제적 방어와 신속한 대응을 가능하게 지원한다”라고 말했다.
카스퍼스키는 이번 공격이 올드그렘린의 과거 캠페인과 연결되는 단서로 동일한 전술과 암호화 공개키(Cryptographic Public Key) 재사용을 확인했다. 해당 그룹은 평균 약 49일간 내부에 잠복한 뒤 파일을 암호화하는 전략을 사용했으며 2022년에는 1690만 달러의 몸값을 요구한 사례도 있었다. 또한 명령 및 제어(C2) 서버가 퍼블릭 인터넷에서 접근 가능하다는 점도 관찰됐다.
카스퍼스키 제품은 이 랜섬웨어를 Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og, HEUR:Trojan-Ransom.Win64.Generic 등으로 탐지했다. 회사는 기업이 랜섬웨어로부터 보호하기 위해 'Kaspersky Next 제품군 도입', '소프트웨어 최신 상태 유지', '측면 이동·데이터 유출 탐지 강화', '오프라인 백업 설정', '최신 위협 인텔리전스 활용' 등을 권장했다.
헬로티 구서경 기자 |
