보안업체 맥아피는 최근 NetWalker 랜섬웨어 운영에 대한 포괄적인 보고서를 발표했다. 이와 관련하여 보안 전문가들은 자신들의 분석이 아직 완전하지 않기 때문에 해당 조직이 더 많은 이득을 취할 행위를 할 수 있다고 밝혔다. 랜섬웨어인 NetWalker는 2019년 8월에 처음 등장했는데, 초기 버전에서는 Mailto라는 명칭이 붙었지만 2019년 말에 NetWalker로 이름이 변경되었다.

NetWalker 랜섬웨어 조직, 2020년 3월 이후 2,500만 달러 벌어들여

NetWalker는 RaaS 랜섬웨어 형태로 실행된다. 공격 1단계에서 공격자들은 먼저 랜섬웨어를 구축할 수 있는 포털 사이트에 대한 액세스 권한을 부여 받는다. 이후 2단계에서는 랜섬웨어 배포 작업을 실시하는데 최근에는 툴킷이 스팸메일 발송 등과 같은 대규모 전파 방법을 사용하기 보다는 고가치로 판단되는 대기업의 네트워크에 대한 표적 공격을 전문으로 실시한다. 그 이유는 대기업을 침입하면 소기업에 비해 더 많은 몸값을 요구할 수 있기 때문이다.

NetWalker 랜섬웨어 운영자는 네트워크 공격을 통해 RDP 서버, 네트워크 장치, VPN 서버, 방화벽 등을 공격할 수 있는 기업을 선호하는 것으로 보인다. 이들은 Bugatti라는 별칭을 갖고 있는데, 주로 러시아어에 능한 해커들을 고용하는 것으로 알려졌다. 맥아피 보안전문가들은 Netwalker가 Oracle WebLogic 및 Apache Tomcat 서버의 취약성을 사용해 자격 증명이 있는 RDP 엔드 포인트를 통하거나 기업 내 주요 위치에 있는 직원에 대한 스피어피싱을 통해 네트워크에 진입한다고 분석했다.

NetWalker 랜섬웨어 조직, 2020년 3월 이후 2,500만 달러 벌어들여

[출처 : cbeta / 2020.08.11.]