이셋(ESET) 연구진이 코스믹비틀(CosmicBeetle) 위협 그룹의 최근 활동을 매핑하여 새로운 랜섬웨어인 에스씨랜섬(ScRansom)가 배포되고 있으며 다른 잘 알려진 랜섬웨어 조직들과 연결되어 있다고 발표했다. 코스믹비틀은 주로 유럽과 아시아의 중소기업들을 대상으로 랜섬웨어를 유포하고 있다.

이셋 연구진은 이 위협 행위자가 유출된 록빗(LockBit) 빌더를 사용하고 록빗의 랜섬웨어 명성을 활용하려 시도하는 것으로 파악했다. 또한 코스믹비틀은 2024년 3월부터 활동을 시작해 급속히 증가하고 있는 새로운 랜섬웨어 조직인 랜섬허브(RansomHub)의 새로운 제휴사일 가능성이 높다고 판단하고 있다.

코스믹비틀의 최근 활동을 분석한 이셋 연구원인 야쿠브 소체크(Jakub Souček)는 “맞춤형 랜섬웨어를 처음부터 작성하는 데 따르는 장애물들 때문에, 코스믹비틀은 록빗의 명성을 이용하려 시도했을 가능성이 있다. 아마도 기본 랜섬웨어의 문제를 감추고 피해자들이 지불할 가능성을 높이기 위한 것으로 보인다.”라고 분석했다.

이셋 연구진은 최근 같은 기기에서 일주일 간격으로 에스씨랜섬과 랜섬허브 페이로드가 배포되는 것을 파악했다. 랜섬허브의 실행은 이셋 원격 측정에서 본 일반적인 사례들과 비교하면 매우 이례적이었지만 코스믹비틀의 작동 방식과 상당히 유사했다. 랜섬허브의 공개 유출이 없기 때문에 코스믹비틀과 제휴했을 가능성이 있다.

코스믹비틀은 무차별 대입 방식을 사용하여 표적을 침해한다. 이 외에도 다양한 알려진 취약점들을 악용한다. 일반적으로 전 세계 다양한 업종의 중소기업들이 가장 많이 피해를 입는다. 이는 영향을 받는 소프트웨어를 사용하거나 강력한 패치 관리 프로세스가 부족할 가능성이 가장 높기 때문이다. 이셋 연구진은 제조업, 제약업, 법률업, 교육업, 의료업, 기술업, 호텔 및 레저, 금융 서비스 및 지방 정부 등의 업종에서 중소기업들에 대한 공격을 관측했다.

에스씨랜섬은 암호화 외에도 영향을 받은 기기의 다양한 프로세스와 서비스를 중지시킬 수 있다. 에스씨랜섬은 매우 정교한 랜섬웨어는 아니지만, 코스믹비틀은 흥미로운 표적들을 침해하고 그들에게 큰 피해를 입힐 수 있었다. 이는 주로 코스믹비틀이 랜섬웨어 세계에서 미숙하며, 에스씨랜섬의 배포에 문제가 있기 때문이다. 에스씨랜섬의 영향을 받은 피해자들 중 지불을 결정한 피해자들은 주의해야 한다.

이셋 연구진은 코스믹비틀이 최근의 암호화 방식에 대해 구현한 복호화 도구를 입수할 수 있었다. 에스씨랜섬은 지속적으로 개발 중이다. 암호화(및 복호화) 과정의 과도한 복잡성은 오류를 유발하기 쉬워 모든 파일의 복원을 의심스럽게 만든다. 성공적인 복호화는 복호화 도구가 제대로 작동하고 코스믹비틀이 필요한 모든 키를 제공하는 것에 달려 있으며, 그 경우에도 일부 파일은 위협 행위자에 의해 영구적으로 파괴될 수 있다. 최상의 시나리오에서도 복호화는 길고 복잡하다.

코스믹비틀은 최소 2020년부터 활동해 왔으며, 2023년에 발견된 위협 행위자에게 이셋 연구진이 부여한 이름이다. 이 위협 행위자는 ScHackTool, ScInstaller, ScService, ScPatcher로 구성된 Spacecolon이라고 흔히 불리는 맞춤형 델파이 도구 모음을 사용하는 것으로 가장 잘 알려져 있다.

[알림] GTT KOREA와 전자신문인터넷이 오는 9월 27일(금) 서울 양재동 엘타워 그레이스홀(양재역)에서 공동으로 주최하는 “NABS(Next AI & Bigdata Summit) 2024”에서는 “비즈니스에 성공하는 AI & Big Data 혁신 전략”을 주제로 글로벌 AI와 빅데이터 산업을 이끌고 있는 글로벌 리더 기업들이 급변하는 기술과 비즈니스 환경에서 생산성과 효율성 및 비용 절감까지 조직과 비즈니스를 혁신할 수 있는 맞춤형 차세대 AI와 빅데이터 전략을 제시합니다.