영국에 본사를 둔 사이버 보안 회사 소포스는 가상 머신을 사용하여 보안을 우회하는 라그나르 로커(Ragnar Locker) 랜섬웨어 공격 방식을 공개했습니다.
사이버보안 업체 소포스(Sophos)는 기업을 대상으로 거액의 몸값을 요구하는 '라그나르 로커(Ragnar Locker)' 공격에 대한 세부 정보를 공개했습니다. 이 공격은 가상 머신을 이용하여 대상 컴퓨터를 감염시키며, 이를 통해 기본 설치형 백신 소프트웨어의 보안을 우회할 수 있습니다.
Ragnar Locker 랜섬웨어
랜섬웨어는 개인보다는 기업을 표적으로 삼는 경향이 있으며, 파일 복호화를 위해 거액의 금전을 요구합니다. 소포스의 보고서에 따르면, 포르투갈 에너지 기업인 에네르지아스 데 포르투갈(Energias de Portugal)은 10테라바이트의 데이터를 탈취당하고 1,850 BTC(현재 시세 기준 약 1,450만 달러)를 요구받았습니다. 공격자들은 몸값을 지불하지 않으면 데이터를 공개하겠다고 협박했습니다.
공격자는 작은 랜섬웨어 실행 파일을 가상 이미지 안에 숨기고 설치 프로그램으로 위장합니다. Sophos 보고서에 따르면, "공격 페이로드는 122MB 크기의 설치 프로그램과 282MB 크기의 가상 이미지로 구성되어 있으며, 이 모든 것은 49kB 크기의 랜섬웨어 실행 파일을 숨기기 위한 것입니다.".
공격자는 Windows 원격 데스크톱 프로토콜(RDP) 연결을 악용하여 대상 네트워크에 침투합니다. 관리자 권한으로 접근한 후에는 PowerShell 및 Windows 그룹 정책 개체(GPO)와 같은 Windows 기본 도구를 사용하여 네트워크를 통해 클라이언트와 서버에 접근합니다.
최근 몇 년 동안 파일 복호화를 위해 암호화폐를 요구하는 랜섬웨어 공격이 증가하고 있습니다. 최근에는 Cryptopolitan 보도에 따르면 팝스타 마돈나가 REvil이라는 단체의 암호화폐 랜섬웨어 공격 대상이 되었다고 합니다. 공격자들은 5월 25일에 마돈나에 대한 민감한 정보를 100만 달러부터 시작하는 경매에 부칠 계획이었다고 합니다.
