[아이뉴스24 최은정 기자] 최근 해커조직 레빌(REvil)이 미국 IT 관리 솔루션 업체 카세야의 공급망을 악용해 유포한 랜섬웨어 종류는 '블루크랩(소디노키비)'인 것으로 분석됐다.
11일 안랩에 따르면 레빌은 카세야의 클라우드 기반 IT자원 관리 플랫폼 'VSA' 공급 과정에서 블루크랩을 대량 유포했다. VSA 취약점을 악용해 공급망 공격을 감행한 것이다.
공급망 공격은 한 번 성공하면 해당 서비스·소프트웨어를 사용하는 기업·기관으로 피해가 확대된다는 점에서 여파가 크다. 실제로 이번 카세야 사건으로 전세계 약 1천500개에 달하는 VSA 사용 기업기관이 피해를 입을 것으로 예측되고 있다.
안랩 측은 "국내에서 불특정 다수의 일반 사용자를 대상으로 구글, 마이크로소프트(MS) 빙 등의 검색 사이트를 통해 자바스크립트 파일(.js) 형태로 유포 중인 것과는 다르다"고 설명했다. 그러면서 "이번 피해 사례는 타깃 공격으로 유포됐고 랜섬웨어 동작 방식에 있어서도 차이가 있었다"고 했다.
안랩 분석 결과, 공격자는 안티바이러스와 백신 SW에서 탐지되는 것을 피하기 위해 정상 MS 파일을 이용해 사용자의 파일을 암호화했다. 정상적인 악성코드 방지 실행파일(msmpeng.exe)의 작동 경로에서 같은 기능을 탑재한 악성 파일을 실행시킨 것. 이를 통해 파일 암호화 등의 악성 행위를 수행했다.
블루크랩은 지난 2019년 안랩이 처음 명명한 신종 랜섬웨어로, 이에 감염되면 바탕화면이 파란색으로 바뀌는 게 특징이다. 2018년 공격 건수 상위권에 기록된 '갠드크랩'과 유사한 형태이며, 갠드크랩과 동일한 서비스형 랜섬웨어(RaaS)일 것으로 추정되고 있다.
/최은정 기자(ejc@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기