요즘 랜섬웨어 해커들, 다크웹에 신규 페이지 만든다


썬크립트, 콘티 등 잇따라 개설…데이터 공개 등 악성 행위 용도

[아이뉴스24 최은정 기자] 랜섬웨어 공격 그룹들이 피해 기업 협박 등을 목적으로 다크웹에 개설하는 신규 페이지 수가 늘어나고 있는 것으로 나타났다.

해당 페이지는 피해 기업 데이터 일부를 공개해 돈을 요구하거나, 이미 보도된 기사를 인용해 자신들의 그룹을 과시하는 등 용도로 활용하기 위한 것이다. 일종의 마케팅 전략으로도 볼 수 있다.

1일 보안업체 에스투더블유(S2W)랩에 따르면 최근 3개월 간 썬크립트, 콘티, 락빗, 아바돈 등 랜섬웨어 악성코드를 유포하는 공격 그룹들이 각종 악의적 행위를 위해 다크웹 상 페이지를 새로 만들었다.

이와 관련 서현민 S2W랩 연구원은 "(해당 그룹들은) 앞서 페이지를 운영했던 대표 랜섬웨어 그룹 넷워커, 레빌, 메이즈 등을 모티브로 삼은 것으로 보인다"며 "이러한 운영 방식은 다크웹에서 빠르게 성장하고 있는 추세"라고 설명했다.

[이미지=아이뉴스24]

실제로 최근 썬크립트 감염 사례에서 공격자는 랜섬노트에 데이터 게시 사이트 링크를 함께 전달하기도 했다. 랜섬노트는 공격자가 피해자에게 몸값 요구 등 1차 커뮤니케이션을 하는 도구다. 또 일부 외신 등에 따르면 콘티, 락빗 등의 랜섬웨어 역시 비슷한 종류의 사이트를 새로 운영하기 시작했다.

더불어 최근 이러한 동향은 기업 데이터를 단계적으로 공개하며 협박 수위를 높여 가는 해커 그룹 수법과도 연관돼 있다는 게 서현민 연구원의 설명이다.

그에 따르면 공격자 그룹은 다크웹 등 익명 네트워크에 피해 기업·기관 데이터가 유출됐다는 사실을 알리고, 미리 탈취한 데이터 일부를 게시글을 통해 공개한다. 주로 고객 정보, 계약서, 보고 문건 등 외부로 공개될 경우 기업 신뢰도에 문제가 생길 수 있는 데이터다.

서 연구원은 "만약 피해 기업이 해커가 원하는 금액을 보내면 해커는 해당 게시글을 완전히 삭제하고 관련 언급을 멈춘다"며 "하지만 그렇지 않을 경우 남은 데이터를 모두 공개 하거나 이를 비공개 옥션으로 판매하겠다며 협박 강도를 높인다"고 말했다.

아울러 최근 신종 코로나바이러스 감염증(코로나19)으로 인한 비대면 시대에는 랜섬웨어 공격이 더욱 증가할 거란 전망이다.

서 연구원은 "기업이 온라인에 접속하는 시간이 길어지고, 사내망 외부로 자료를 공유하는 경우가 늘어나면서 랜섬웨어 공격에 대한 위협은 계속 커질 것"이라고 덧붙였다.

최은정 기자 ejc@inews24.com





포토뉴스