Breaking
사이버 보안(Cybersecurity)
영화 '매트릭스'를 기반으로 한 랜섬웨어 메가코텍스, 데이터 인질로 돈 요구
2019-07-01 13:34:19
허서윤
▲기업을 노리는 신종 랜섬웨어인 메가코텍스가 발견됐다(사진=ⓒ123RF)

[라이헨바흐=허서윤 기자] 보안 연구진이 새로운 랜섬웨어를 발견했다. 이름은 메가코텍스(MegaCortex)다.

메가코텍스는 '매트릭스'라는 영화의 주인공인 네오가 일했던 허구의 소프트웨어 회사 메가코텍스의 이름을 따서 명명됐다. 이 랜섬웨어는 지난 1월 아일랜드 기반의 웹사이트인 바이러스 토탈(VirusTotal)에 등장하며 처음 알려졌다.

메가코텍스의 몸값 요구 메모는 역시 영화 '매트릭스'에서 배우 로렌스 피시번이 맡은 역할인 모피우스의 대사를 패러디해 만들어졌다. 이 랜섬웨어의 영향을 받은 국가는 미국, 캐나다, 이탈리아 등이다. 공격자들은 매우 정교한 기술을 사용해 기업 네트워크를 노렸다.

 

곡세 감염 방법론

사이버 행위자가 멀웨어 감염을 시도할 때는 수동 및 자동 방식을 사용할 수 있는데, 대부분 자동 방식을 사용해 피해자를 감염시킨다.

공격자가 네트워크의 관리자 자격 증명에 액세스하면 파워쉘(PowerShell) 스크립트가 실행돼 미터프리터(Meterpreter) 역 셸을 여는 코발트 스트라이크(Cobalt Strike) 스크립트처럼 보이는 일련의 명령이 실행될 수 있다.

그런 다음 공격자는 도메인 컨트롤러(DC)에 액세스해 역 쉘을 사용한 원격 명령을 실행한다. 피해자가 랜섬웨어에 감염되면 공격자가 남긴 몸값 메모가 나타난다. 공격자는 만약 자신의 요구를 따르지 않을 경우 장치 내 데이터에 되돌릴 수 없는 손상이 발생할 것이라고 말한다.

사이버 보안 업체 소포스의 수석 보안 연구원 앤드류 브랜트는 "우리가 조사한 공격 과정에서 공격자는 일반적인 레드팀(Red-Team) 공격 도구 스크립트를 사용해 피해자의 기기 환경에서 미터프리터 역 쉘을 호출했다. 역 쉘에서는 감염 체인이 파워쉘 스크립트, 원격 서버의 배치 파일 등을 사용하고 지정된 컴퓨터에서 멀웨어를 트리거해 암호화된 보조 실행 가능 페이로드를 삭제하는 명령을 실행한다"고 설명했다.

적어도 한 명 이상의 피해자가 이 공격의 효과를 경험했다. 이런 침입 방식은 기업 네트워크의 도메인 컨트롤러에서 실질적인 침입으로 간주된다. 또 공격자는 로그인 자격 증명을 가로챌 수 있다.

메가코텍스 랜섬웨어는 다른 랜섬웨어 유형처럼 파일을 암호화할 뿐만 아니라 컴퓨터 내에서 수많은 서비스와 프로그램을 강제 종료할 수 있는 기능을 갖추고 있다. 즉 프로그램 종료 멀웨어로서도 작동하는 것이다. 그래서 피해자의 컴퓨터에 설치된 사이버 보안 응용 프로그램을 종료하고 공격을 시도할 수 있다.

 

갑작스런 재등장

앞서 언급했듯 이 멀웨어는 지난 1월 등장했다가 최근 다시 발견된 것이다.

연구진이 시스템을 암호화하는 데 사용된 메가코텍스 랜섬웨어의 실행 가능한 페이로드를 조사한 결과, 공격자의 과거 활동을 암시하는 힌트가 발견됐다. 페이로드에 서명하는 데 사용된 인증서에는 소포스의 보관소에 저장된 다른 실행 파일과 비슷한 CN(Common Name)이 있었다. 또 메가코텍스 랜섬웨어 공격이 발생한 네트워크에서 이모텟(Emotet)과 큐봇(Qbot) 멀웨어가 발견되면서 메가코텍스와 이모텟 사이에 상관 관계가 있는 것으로 보인다. 아마도 공격자가 같은 사람이거나, 적어도 연관이 있는 사람인 것으로 보인다.

그러나 이런 주장이 사실임을 입증할 확실한 증거는 아직 없다. 그래서 연구진은 현재 소유하고 있는 샘플을 연구 중이다.

이들이 수집한 샘플 중 가장 초기 버전은 지난 1월에 체코에서 업로드된 샘플로, 업로드일은 1월 22일이다.

브랜트는 "이것이 대중적인 멀웨어 공유 서비스에 제출된 가장 초기 샘플로 보인다. 그러나 동일한 공통 이름값을 가진 파일을 자사의 저장소 파일에서 발견했다"고 전했다.

지난 2월에도 메가코텍스 랜섬웨어로 보이는 멀웨어 공격이 발생했지만 이로 인한 큰 피해는 없었다. 그리고 최근 5월 1일에 이 랜섬웨어가 다시 등장했다. 공격 시도는 보안 연구진에 의해 중단됐지만, 이 랜섬웨어 공격이 성공했다면 기업 네트워크가 감염돼 수백 개의 장치가 피해를 입을 수도 있었다.

▲지난 2월에도 메가코텍스 랜섬웨어의 공격이 발생했다(사진=ⓒ123RF)

공격자는 몸값을 요구하는 메모를 통해 손실된 데이터를 살릴 가장 안전한 방법은 피해자가 돈을 지불하는 것이며, 그러면 개인 암호 해독 키를 제공하겠다고 전했다. 그리고 자신이 말하는 바를 잘 따른다면 더 이상 공격을 시도하지 않겠다고 말했다.

그러나 소포스 연구진은 랜섬웨어에 감염될 경우 이런 범죄자의 말을 믿지 말아야 하며, 감염에 대비하기 위해 데이터를 항상 백업해둬야 한다고 강조했다.

브랜트는 "랜섬웨어 공격자들은 데이터를 인질로 돈을 요구한다. 그리고 돈을 지불하면 암호화를 풀어주거나 더 이상의 공격을 하지 않겠다고 말한다. 그러나 이들은 믿을 만 한 사람이 아니다. 물론 피해자로서는 다른 선택의 여지가 없으니 돈을 지불할 수도 있다"고 말하며 중요한 것은 사이버 공격에 대비해 데이터를 백업해두는 것이라고 말했다.

[라이헨바흐=허서윤 기자]