사람들에게 잘 알려지지 않은 사이버 범죄의 세계에 BlackCat이라는 이름의 매우 위험하고 정교한 랜섬웨어가 등장하였습니다. 계속 읽으면서 BlackCat 랜섬웨어의 내부 메커니즘과 이것으로부터 보호하는 방법에 대해 더 자세히 알아보세요.
BlackCat 랜섬웨어란?
ALPHV 또는 ALPHV-ng라고도 불리는 BlackCat은 2021년 11월에 등장한 이후로 랜섬웨어 세계에서 아주 위협적인 존재가 되었습니다. 이 유형의 랜섬웨어는 RaaS(Ransomware-as-a-Service) 방식으로 작동하며, 가장 정교한 RaaS 작동 방식 중 하나로 알려져 있습니다. BlackCat은 Rust 프로그래밍 언어와 소름 끼치는 ‘삼중 갈취’ 전략을 사용한다는 점이 특징입니다.
BlackCat 랜섬웨어는 어떻게 작동하나요?
BlackCat 랜섬웨어는 악성 소프트웨어로, 독특하게 Rust 프로그래밍 언어를 사용합니다. 그 적응력은 광범위한 대상 장치와 잠재적 취약성에까지 손을 뻗치며, 종종 기존의 위협 활동 그룹들과 손을 잡기도 합니다. BlackCat의 악의성은 피해자의 데이터를 암호화하고 그것을 유출하는 무자비한 '삼중 갈취' 전술을 이용하는 그 확고한 접근 방식에 있습니다. 삼중 갈취란 몸값을 지불하지 않으면 훔친 데이터를 폭로하겠다는 협박뿐 아니라 몸값에 대한 요구가 관철되지 않을 경우 분산도 받을 수 있다는 불길한 예감까지 포함된 것입니다.
BlackCat의 비즈니스 모델은 RaaS(Ransomware-as-a-Service) 방식으로, 다른 사이버 범죄자들이 자신의 랜섬웨어를 범죄에 사용하고 얻은 수익의 상당 부분 즉, 업계 표준인 70%를 넘는 수익을 얻는 것이 핵심입니다. 랜섬웨어로서 BlackCat의 우수성은 옵션을 맞춤화하기 쉬워서 경험이 훨씬 더 적은 해커도 기업체들을 상대로 정교한 공격을 진행할 수 있다는 점입니다. BlackCat은 몸값 요구 조건이 수백만에 이르기도 하지만, 빨리 낼 경우 할인을 받을 수도 있습니다. 하지만 기업들은 몸값 지불을 고민할 때 주의해야 합니다. 파일을 복구해준다는 보장은 없고, 그 돈이 의도치 않게 범죄 활동에 사용될 수 있기 때문입니다.
일반적으로, BlackCat 가해자들은 이해하기 어려운 복호화 키를 주는 대가로 몸값을 비트코인 같은 암호 화폐로 지불할 것을 요구합니다. 게다가, 피해자는 몸값을 지불하고 복호화 키를 얻는 방법에 관해 알려주는 화면의 메시지를 확인하게 되는데, 여기서 갈취 활동의 압박이 한층 더 거세집니다.
BlackCat 랜섬웨어는 어떻게 확산되나요?
BlackCat의 주된 공격 방식은 감염된 이메일과 악성 웹사이트 링크를 통해 의심하지 않는 사용자를 유인하는 것입니다. 일단 침투하고 나면 BlackCat의 독성이 시스템 전반에 빠르게 확산됩니다.
BlackCat이 다른 랜섬웨어 유형들과 다른 점은 Rust 프로그래밍 언어를 사용한다는 점입니다. Rust의 장점은 속도, 안정성, 우수한 메모리 관리, 그리고 기존의 탐지 방법들을 피해갈 수 있는 능력입니다. BlackCat의 이러한 특징들은 사이버 범죄자들에게 강력한 도구가 됩니다. 특히, BlackCat의 적응성은 일반적으로 맬웨어 위협을 더 적게 받는 Linux 같은 비 Windows 플랫폼에까지 영향을 줍니다. 이러한 점은 이 진화하는 위협에 맞서 싸우는 임무를 가진 Linux 관리자들만이 해결해야 하는 독특한 과제를 던져줍니다.
BlackCat의 유연성은 사용자로 하여금 4가지 암호화 알고리즘 중에서 선택하고 랜섬 노트를 작성한 다음 파일, 폴더 및 확장자의 제외 항목을 지정하고 서비스와 종료 과정을 정할 수 있게 함으로써 원활한 암호화 프로세스를 보장해주는 JSON 구성 파일에서 비롯됩니다. 게다가, BlackCat의 결합 가능성은 도메인 자격 증명의 사용까지 확대되므로 랜섬웨어를 다른 시스템으로 확산시키는 기능이 더 향상됩니다.
또한, BlackCat은 다크 웹에 부과되는 벌금까지 감수하면서 공개 인터넷상에 데이터 유출 웹사이트를 개설하였습니다. 다른 그룹들은 일반적으로 다크 웹에서 이러한 사이트를 운영하여 데이터 유출을 증명하고 피해자들로 하여금 몸값을 지불하도록 강제하는 반면에, BlackCat의 공개 사이트는 현재의 고객과 잠재 고객, 주주 및 기자들을 포함한 더 폭넓은 대상이 볼 수 있도록 함으로써 판도를 바꿨습니다.
BlackCat 랜섬웨어의 전형적인 피해자
잘 알려져 있는 랜섬웨어들의 방식과 비슷하게, BlackCat 랜섬웨어의 전형적인 피해자는 몸값을 최대한 많이 받기 위해 전략적으로 선택된 기업으로, 규모가 꽤 큰 기업들입니다. 보도에 따르면, 요구하는 몸값은 수십만 달러에서 수백만 달러까지 아주 다양하며 암호 화폐로 지불할 것을 요구했다고 합니다.
피해자의 정확한 수치는 확실하지 않지만, BlackCat의 Tor 누출 사이트에 20개 이상의 대상 기업들이 공개되어 있는 것을 볼 때 이 그룹이 지니는 위협성은 분명합니다. 이 같은 피해자들은 다양한 업계와 호주, 바하마, 프랑스, 독일, 이탈리아, 네덜란드, 필리핀, 스페인, 영국, 미국 등 여러 국가에 걸쳐 있습니다. 피해 부문은 비즈니스 서비스, 건설 및 에너지부터 패션, 금융, 물류, 제조, 제약, 소매 및 기술까지 다양한 부문에 걸쳐 있습니다.
BlackCat 랜섬웨어 공격의 사례
2023년 11월 – Heny Schein
2023년 11월, BlackCat 랜섬웨어는 Fortune 500대 헬스케어 기업 Henry Schein을 목표로 삼았습니다. 기사에 따르면, ALPHV라고도 알려진 이 랜섬웨어 조직은 Henry Schein으로부터 35TB 규모의 데이터를 훔쳤고 이 기업과 협상을 시작했다고 주장했습니다. 처음에 이 기업은 복호화 키를 받았고 시스템 복구를 시작했지만, 협상이 결렬되자 BlackCat은 모든 것을 다시 암호화했습니다. BlackCat이 내부 데이터를 유포하겠다고 위협하면서 상황이 고조되었지만, 나중에는 자신들의 웹사이트에서 데이터를 삭제하면서 협상의 여지를 내비쳤습니다. 공격 2주 후에 데이터가 온라인에 공개되었고, Henry Schein의 영업이 잠시 중단되었습니다. Henry Schein은 예방 조치를 취하고 사건을 경찰에 신고하고 포렌식 전문가에게 조사를 의뢰하였습니다.
2023년 8월 – Seiko Group Corporation
Seiko Group Corporation은 2023년 8월, BlackCat 랜섬웨어 조직에 의한 데이터 유출을 확인했고, 이로 인해 60,000건의 기록이 노출되었습니다. 유출된 데이터에는 고객 기록, 비즈니스 거래처 정보, 입사 지원자 세부 정보 및 직원 정보가 포함되어 있었습니다. 다행히, 신용카드 데이터는 유출되지 않았습니다. 여기에 대응하여, Seiko는 외부 서버 통신을 차단하고 EDR 시스템을 배포하고 다단계 인증을 시행하는 등 다양한 보안 조치를 시행하였습니다. Seiko는 보안을 강화하고 앞으로의 사고를 예방하기 위한 사이버 보안 전문가들과 협업 계획을 확정하였습니다.
BlackCat 랜섬웨어 공격으로부터 보호하는 방법
BlackCat 랜섬웨어로부터 시스템과 데이터를 방어하는 일은 다른 랜섬웨어 유형들의 계획을 무산시키는 데 사용되는 보호 조치와 유사합니다. 이러한 보호 조치는 다음과 같습니다.
직원 교육:
BlackCat 랜섬웨어와 기타 맬웨어 위협에 대응하도록 직원들을 교육할 때는 다음과 같은 몇 가지 핵심 포인트가 있습니다.
- 교육 시, 일반적인 랜섬웨어 배포 방식인 피싱 이메일을 식별하는 방법에 대해 다뤄야 합니다.
- 피싱 이메일은 은행이나 배송 회사 같은 믿을 수 있는 곳으로 가장할 때가 종종 있습니다. 그리고 랜섬웨어를 설치할 수 있는 악성 첨부 파일이나 링크가 포함된 경우가 있습니다.
- 모르는 발신자가 보낸 이메일을 다룰 때 주의하십시오. 무단 다운로드를 삼가는 것이 매우 중요합니다.
- 직원들이 소프트웨어와 백신 프로그램을 최신 상태로 유지하고 의심스러운 활동을 감지했을 때 IT 직원이나 보안 담당 직원에게 신고하는 방법을 알아야 합니다.
- 보안 인식 교육을 정기적으로 실시하면 직원들이 최신 랜섬웨어 위협과 그 예방을 위한 모범 사례에 대한 정보를 지속적으로 접하게 됩니다. 이렇게 되면 BlackCat 랜섬웨어 사고나 기타 사이버 보안 위험의 소지가 줄어듭니다.
데이터 암호화 및 액세스 제어:
민감한 데이터를 보호하는 일은 BlackCat 랜섬웨어와 그 밖에 이와 유사한 위협들로부터 보호하는 강력한 방법입니다. 기업들은 암호화 및 액세스 제어를 배포해 BlackCat 랜섬웨어 감염 위험과 공격의 성공에 따른 2차 피해 가능성을 크게 완화할 수 있습니다.
- 암호화란 데이터를 해당 복호화 키 없이는 사실상 해독할 수 없는 코드로 변환하는 것을 의미합니다.
- 이것은 랜섬웨어가 시스템 속으로 침투하여 암호화된 정보에 액세스하더라도 데이터를 보호해줍니다.
- 금융 기록, 개인 정보 및 필수 비즈니스 파일과 같은 중요 데이터는 항상 암호화하는 것이 좋습니다.
- BitLocker for Windows나 FileVault for Mac, 혹은 그 외 업체들의 암호화 소프트웨어 등 다양한 암호화 도구를 사용할 수 있습니다.
- 직무에 따른 사용자 인증과 승인 프로세스와 강력한 암호 요건을 사용하여 액세스 제어를 시행하는 것도 데이터 액세스를 제한하는 데 있어서 똑같이 매우 중요합니다.
- 위협 행위자가 암호화된 데이터에 접근한다고 하더라도, 복호화 키 없이는 액세스가 불가능합니다. 이 복호화 키는 암호화된 데이터와 별도로 안전하게 보관해야 합니다.
데이터 백업:
주기적인 데이터 백업은 BlackCat 랜섬웨어와 그 외 유사한 맬웨어로부터 방어하는 가장 효과적인 방법 중 하나입니다.
- 백업이란 중요 파일의 복사본을 만들어서 외장 하드 드라이브나 클라우드 스토리지, 또는 다른 컴퓨터 등 별도의 위치에 저장해두는 것을 말합니다.
- BlackCat 랜섬웨어에 감염된 경우에는 감염된 파일들이 삭제될 수 있는데, 백업 저장소에서 데이터를 복구할 수가 있으므로 몸값을 지불하거나 영구적인 파일 손실의 위험을 감수할 필요가 없습니다.
- 중요한 것은, 백업 파일을 주 사용 컴퓨터나 네트워크에서 멀리 떨어져 있는 위치에 저장하여 침해를 예방해야 한다는 것입니다. 권장되는 저장 방법은 물리적으로 위치를 떨어뜨리거나 보안과 암호화 프로토콜이 강력한 유명 클라우드 스토리지 서비스를 이용하는 것입니다.
소프트웨어 업데이트:
소프트웨어를 정기적으로 업데이트하면 BlackCat 랜섬웨어와 관련 맬웨어로부터 보호됩니다.
- 업데이트의 흔한 예로는 랜섬웨어 공격자가 악용할 수 있는 취약성을 해결해주는 보안 패치가 있습니다. 소프트웨어 공급 업체는 취약성 발견 시 그 악용을 방지하기 위해 업데이트를 배포합니다.
- 이러한 업데이트에는 보안 패치, 버그 수정 및 새로운 기능이 있습니다. 이러한 업데이트를 무시할 경우 시스템이 공격에 취약해질 수 있습니다.
- 공격자들은 운영 체제, 웹 브라우저 및 플러그인 등 오래된 소프트웨어를 공격 대상으로 삼곤 합니다. 업데이트를 꾸준히 설치하면 보안이 강화되어 공격자들이 취약성을 이용하는 것이 어려워집니다.
- 자동 패치 관리 소프트웨어를 이용하면 설치를 자동화해주고 사용하지 않는 시간에 업데이트를 예약해주고 시스템 업데이트에 관한 상세한 상태 보고서를 제공해 업데이트 과정이 더 간소화됩니다. 이렇게 정기적인 업데이트와 자동 패치 관리를 함께 이용하면 BlackCat 랜섬웨어 감염과 그 밖의 사이버 위협에 따른 위험이 감소합니다.
사이버 보안 툴 사용:
위에서 설명한 조치를 이행하여 BlackCat 랜섬웨어에 대한 방어력을 크게 강화할 수 있지만, 사이버 보안 전용 제품들을 통해 이러한 전략을 보완하는 것이 매우 중요합니다. 다음은 몇 가지 예입니다.
- Kaspersky Premium은 실시간 위협 탐지, 고급 방화벽, 보안 유지를 위한 자동 업데이트를 통해 랜섬웨어 등 다양한 사이버 위협으로부터 보호해주는 종합 보안 서비스를 제공합니다.
- Kaspersky VPN은 인터넷 연결을 암호화하여 이를 보안 서버를 통해 라우팅함으로써 온라인 보안을 강화해주므로, 특히 공용 Wi-Fi 네트워크에서 데이터를 보호할 경우에 적합한 제품입니다.
- 랜섬웨어 방어 기능을 추가하고 싶다면, 온라인 계정을 위한 강력하고 고유한 암호를 안전하게 저장하고 생성해 취약한 암호나 암호 재사용에 따른 데이터 침해 위험을 줄여주는 Kaspersky Password Manager가 있습니다.
요컨대, 위협 범죄가 계속해서 진화해가고 있는 상황에서 강력한 사이버 보안 실무와 최첨단 도구를 함께 활용하는 것의 중요성은 아무리 강조해도 지나치지 않을 것입니다. 직원 교육, 데이터 암호화, 액세스 제어, 정기적인 데이터 백업, 소프트웨어 업데이트, 그리고 여기에 사이버 보안 제품들의 사용까지 포함하는 전체론적인 접근법을 시행한다면 온라인 안전이 극대화될 것이며 BlackCat 랜섬웨어나 그 밖의 악성 위협 요인들로부터 방어하는 데 도움이 될 것입니다.
BlackCat 랜섬웨어에 관한 FAQ
BlackCat 랜섬웨어란?
ALPHV 또는 ALPHV-ng라고도 알려진 BlackCat은 2021년 11월에 등장한 이후로 랜섬웨어 계의 주된 위협 요소가 되었습니다. BlackCat은 서비스로서의 랜섬웨어(RaaS) 방식으로 작동하며 현재까지 가장 발전된 RaaS 조직 중 하나로 알려져 있습니다. BlackCat은 Rust 프로그래밍 언어를 사용하고 가공할 만한 ‘삼중 갈취’ 접근법을 사용하는 것으로 유명합니다.
BlackCat 랜섬웨어의 피해 사례로는 어떤 것들이 있나요?
BlackCat은 거액의 몸값을 받기 위해 전략적으로 대기업을 목표로 삼고 있습니다. 몸값의 범위는 다양한데, 일반적으로 수십만 달러에서부터 수백만 달러에 달하는 몸값을 암호 화폐로 요구합니다. 이 조직의 Tor 유출 사이트에서 20개 이상의 피해 기업들이 확인되었는데, 피해를 입은 이들 기업은 전 세계 여러 국가에 걸쳐 분포하고 있습니다. 목표로 삼는 업계에는 비즈니스 서비스, 건설, 에너지, 패션, 금융, 물류, 제조, 제약, 소매 및 기술 부문이 포함되어 있습니다.
연관 제품:
