구글·FBI, 가짜 IT 직원 파견해 직접 해킹하는 랜섬웨어 그룹 경고
출처: TechCrunch
구글과 FBI에 따르면, 한 랜섬웨어 조직이 법률 사무소를 대상으로 공격을 확대하면서 때때로 가짜 IT 직원으로 가장해 직접 사무실을 방문해 USB 드라이브로 피해자 컴퓨터에서 데이터를 직접 탈취하거나, 다른 조직원들이 원격으로 컴퓨터에 접속하도록 돕고 있습니다.
금요일에 구글의 사이버보안 팀인 Mandiant와 Google Threat Intelligence Group은 새 보고서를 발표하며, Silent Ransom Group이라 알려진 사이버 범죄 조직이 올해 1월부터 5월까지 “수십 명”의 피해자를 대상으로 “물리적, 직접적인 접근”을 이용해 정보를 탈취하려 했다고 비난했습니다.
“Mandiant는 적대자가 내부자를 심거나, 직원을 뇌물로 매수하거나, 건물에 물리적으로 침입해 사이버 공격을 돕는 다양한 사례를 조사해 왔습니다.”라고 Mandiant 최고 기술 책임자 Charles Carmakal이 TechCrunch에 보낸 성명에서 말했으며, 이 전술이 수년간 다른 사례에서도 사용된 바 있다고 덧붙였습니다.
지난달, FBI는 Silent Ransom Group이 IT 지원 직원을 사칭한 사회공학 및 피싱 공격으로 법률 사무소를 표적으로 삼고 있다며 경고문을 발표했습니다. 그러나 일부 경우에는 이 조직이 가짜 IT 지원 인력을 피해자 사무실에 파견해 직원들의 컴퓨터에 연결하고, USB 드라이브나 원격 접근 도구를 사용해 계약서, 사회보장번호와 같은 개인 정보, 재무·세무 기록 등을 탈취했습니다.
FBI 대변인은 TechCrunch에 “우리는 Silent Ransom Group의 데이터 탈취 계획의 일환으로, IT 지원을 사칭한 인물들이 피해 기업 사무실 및/또는 장치에 물리적으로 접근하려 하거나 성공한 사례를 여러 차례 확인했습니다.”라고 확인했습니다.
전통적인 랜섬웨어 공격처럼 데이터를 실제로 암호화하지는 않지만, 이제는 흔히 사용되는 갈취 전술이 되었습니다. 이 조직은 자체 유출 사이트를 운영해 피해자에게 데이터를 공개하겠다고 위협하고, 몸값을 지불하지 않으면 실제로 데이터를 공개합니다.
Contact Us
이 해킹 캠페인이나 다른 데이터 유출에 대해 더 알고 계신가요? 여러분의 이야기를 듣고 싶습니다. 업무용이 아닌 기기와 네트워크를 사용해 Lorenzo Franceschi‑Bicchierai에게 Signal +1 917 257 1382, Telegram 및 Keybase @lorenzofb, 혹은 이메일로 안전하게 연락해 주세요.
해커들은 종종 직접 이메일을 보내 위협을 가한 뒤 이런 행동을 합니다.
“무지하거나 합의가 이루어지지 않을 경우, 우리는 귀사의 직원, 파트너 및 고객에게 통보하고, 이후 귀사의 데이터를 공개할 것입니다.”라고 해커가 한 피해자에게 보냈다고 구글은 전했습니다.
구글 보고서에 따르면, 해커들은 피싱 이메일, 후속 전화, 사회공학 등 전통적인 방법도 사용합니다. 사이버 범죄자들은 회사의 IT 지원을 가장해 피해자를 속이고 컴퓨터 접근 권한을 얻으려 합니다.
“전화 담당자는 다양한 구두 지시를 통해 목표 행동을 유도합니다. 보안 문제를 해결하거나 기업 데이터 마이그레이션 프로젝트를 지원한다는 명목으로 신뢰를 쌓고, 목표를 화면 공유 세션에 참여하도록 유도합니다.”라고 구글 연구원들은 적었습니다. 해커들은 이후 피해자가 화면 공유 애플리케이션을 다운로드·실행하도록 설득하거나, Zoom이나 Microsoft Teams와 같은 앱의 화면 공유 기능을 이용해 보안 통제를 우회합니다.
대부분의 경우 해커는 악성코드나 피싱 공격을 통해 원격으로 데이터를 탈취하지만, 이번 사례들은 일부 해커가 전통적인 해킹 기법에 물리적 침입을 결합해 범죄를 한 단계 끌어올리고 있음을 보여줍니다. 이는 새롭고 중요한 위협 상승이라 할 수 있습니다.
우리 기사 내 링크를 통해 구매하시면 소정의 수수료를 받을 수 있습니다. 이는 편집 독립성에 영향을 주지 않습니다.
Lorenzo Franceschi‑Bicchierai는 TechCrunch의 시니어 라이터로, 해킹, 사이버보안, 감시 및 프라이버시를 다룹니다.
Lorenzo에게 연락하거나 그의 활동을 확인하려면 lorenzo@techcrunch.com으로 이메일을 보내거나, Signal +1 917 257 1382에 암호화된 메시지를 보내고, Keybase/Telegram에서 @lorenzofb로 연락해 주세요.