벤치마크 기반 공격, 크라켄 랜섬웨어 주의보: 피해 규모 예측 후 암호화
최근 사이버 보안 업계를 긴장하게 만드는 새로운 랜섬웨어, 크라켄(Kraken)이 등장했습니다. 크라켄 랜섬웨어는 기존 랜섬웨어와 차별화된 방식으로 시스템을 공격하며, 기업의 중요한 자산을 노리고 있습니다. 이번 블로그 글에서는 크라켄 랜섬웨어의 특징과 공격 방식, 그리고 예방 및 대응 방안에 대해 자세히 알아보겠습니다.
크라켄 랜섬웨어의 독특한 공격 방식: 벤치마크 기반 암호화
크라켄 랜섬웨어는 감염된 시스템의 성능을 먼저 측정하여 암호화 범위를 결정하는 독특한 방식을 사용합니다. Cisco Talos 연구팀에 따르면, 크라켄은 임시 파일을 암호화하는 속도를 측정하여 시스템의 데이터 암호화 능력을 파악합니다. 이후 전체 암호화를 진행할지, 아니면 부분 암호화를 통해 시스템 부하를 줄이면서 피해를 극대화할지 결정합니다. 이는 탐지를 피하면서 효율적으로 기업에 피해를 입히기 위한 전략으로 분석됩니다.
주요 기업 자산 집중 공격: 윈도우, 리눅스, ESXi 시스템 타겟
크라켄 랜섬웨어는 윈도우, 리눅스, ESXi 시스템을 모두 표적으로 삼아 공격합니다. 윈도우 버전은 SQL 데이터베이스, 네트워크 공유, 로컬 드라이브, Hyper-V 가상 머신을 찾아 암호화하는 4개의 모듈로 구성되어 있습니다. 리눅스와 ESXi 버전은 실행 중인 가상 머신을 종료하여 디스크를 잠금 해제하고, 벤치마크 기반 로직을 적용한 후 데이터를 암호화합니다. 이처럼 다양한 운영체제를 대상으로 공격을 수행하며, 기업의 핵심 자산을 집중적으로 노리는 것이 특징입니다.
흔적 지우기: 로그 삭제 및 증거 인멸
암호화가 완료되면 크라켄 랜섬웨어는 로그를 삭제하고, 셸 기록을 제거하며, 랜섬웨어 바이너리를 삭제하여 공격 흔적을 지웁니다. 암호화된 파일은 .zpsc 확장자로 변경되며, 감염된 위치에는 "readme_you_ws_hacked.txt"라는 이름의 랜섬 노트를 남깁니다. 랜섬 노트에는 비트코인으로 몸값을 요구하는 내용이 담겨 있으며, Cisco는 실제로 100만 달러의 몸값을 요구받은 사례를 보고했습니다.
과거 HelloKitty 랜섬웨어 그룹과의 연관성
크라켄 랜섬웨어는 과거 HelloKitty 랜섬웨어 그룹과 운영 방식에서 유사점을 보입니다. 두 그룹 모두 동일한 랜섬 노트 파일 이름을 사용하고, 유출 사이트에서 서로를 언급하는 등 연관성이 있는 것으로 추정됩니다. 또한, 크라켄 배후의 해커들은 "The Last Haven Board"라는 새로운 지하 포럼을 개설하여 사이버 범죄 생태계 내에서 안전한 통신 채널을 제공하려 시도하고 있습니다.
침투 경로: 취약한 SMB 서비스 악용
크라켄 랜섬웨어 공격자들은 주로 인터넷에 노출된 취약한 SMB 서비스를 악용하여 초기 접근 권한을 획득합니다. 관리자 자격 증명을 수집한 후 원격 데스크톱을 사용하여 시스템에 다시 침투합니다. Cloudflare 터널을 통해 지속성을 유지하고, SSHFS를 사용하여 네트워크를 이동하며 데이터를 유출합니다. 이후 크라켄 바이너리를 배포하고 훔친 자격 증명을 사용하여 추가 시스템으로 확산합니다.
크라켄 랜섬웨어 예방 및 대응 방안
크라켄 랜섬웨어와 같은 위협으로부터 안전하게 보호하려면 지속적인 노력이 필요합니다. 강력한 랜섬웨어 보호 체계를 유지하고, 백업, 접근 제어, 네트워크 분할을 적절히 적용하고 모니터링해야 합니다. 최신 안티바이러스 소프트웨어를 사용하여 악성 파일이 확산되기 전에 탐지하고, 정기적인 멀웨어 제거 도구를 사용하여 침입 흔적을 제거해야 합니다. 인터넷 연결 서비스를 제한하고, 취약점을 패치하며, 강력한 인증을 적용하여 공격자의 기회를 줄여야 합니다.
결론
크라켄 랜섬웨어는 시스템 성능을 벤치마크하여 암호화 범위를 결정하는 독특한 공격 방식을 사용하며, 기업의 핵심 자산을 노리는 위협적인 존재입니다. 철저한 보안 대비와 함께 최신 정보를 꾸준히 습득하여 크라켄 랜섬웨어를 비롯한 다양한 사이버 공격으로부터 안전하게 자산을 보호해야 합니다.
