테크레시피

“친러시아 해커 랜섬웨어 개조해 러시아 해킹 공격”

국제 해커 집단인 어나니머스는 러시아에 의한 우크라이나 침공에 항의해 러시아 정부를 표적으로 한 대항 작전을 실행한다고 발표한 바 있다. 이런 어나니머스와 손잡고 러시아 정부 기관이나 기업을 공격하고 있는 해커 집단인 NB65가 친러시아 랜섬웨어 그룹 콘티(Conti)에서 유출된 랜섬웨어를 개조해 사용하고 있는 게 판명됐다.

해커 집단으로 지난 1개월간 러시아 기관을 공격하고 있는 NB65는 러시아에 대한 공격에 대해 트위터에 보고하고 있다. 과거 러시아 우주 기관인 로스코스모스나 러시아 국영 방송국인 VGTRK에 랜섬웨어 공격을 가한 바 있다. 그 중에서도 VGTRK에 대한 공격은 이메일 90만 통과 파일 4,000개를 포함한 내부 데이터 786.2GB가 비영리 내부 고발 사이트 DDoSecrets(Distributed Denial of Secrets)에 유출됐다고 한다.

이런 가운데 파일이나 웹사이트 멀웨어 검사를 실시하는 웹사이트 바이러스토털에 NB65가 사용하는 랜섬웨어가 올라왔다. 이 샘플을 조사한 결과 거의 모든 안티바이러스 제조사가 이 랜섬웨어를 콘티로 판단하고 있으며 NB65가 사용하는 랜섬웨어는 콘티 소스코드와 66% 같다는 걸 확인했다고 한다.

콘티는 러시아에 의한 우크라이나 군사 침공이 시작된 뒤 친러시아 정책을 내세우는 성명을 발표하고 있으며 이에 반발한 우크라이나인 연구자에 의해 1년분 내부 채팅 로그와 기타 데이터가 유출됐다. 데이터를 유출시킨 연구자는 콘티를 모니터링해왔다고 한다. NB65가 사용하고 있는 랜섬웨어는 이 때 유출한 랜섬웨어 코드를 개조한 것이다.

NB65 랜섬웨어에선 암호화된 파일 확장자가 .NB65로 되어 있는 것 외에도 암호화된 장치에 표시되는 메모(R3ADM3.txt)에 신중하게 지켜보고 있으며 당신의 대통령은 전쟁 범죄를 저질러선 안 된다고 밝히고 만일 당신이 지금 상황에 대해 비난할 상대방을 찾는다면 푸틴 외에는 별로 없다는 푸틴 대통령을 비난하는 문장이 적혀 있다.

NB65는 콘티에서 유출한 소스 코드를 기반으로 랜섬웨어를 만들었다는 걸 인정했다. 소스 코드는 콘티 해독 기능을 사용할 수 없도록 변경했다고 한다. NB65는 일련의 공격에 대해 러시아가 우크라이나에서 모든 교전을 멈추고 어리석은 전쟁을 끝내면 NB65는 러시아 내 자산과 기업에 대한 인터넷 공격을 중단할 것이라면서 러시아 이외 국가를 공격하지 않는다고 주장했다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사