자격 증명, 개인 데이터 및 기타 민감한 정보를 훔치는 인포스틸러는 신원 도용, 사기 및 막대한 데이터 유출의 주요 원인이 되었다. 블랙바스타 유출과 같은 주목할 만한 사건들은 얼마나 많은 랜섬웨어 공격이 인포스틸러 로그에서 비롯되는지 폭로했으며, 이는 이러한 도구가 랜섬웨어 공격의 촉매제가 되어 있어 그 피해의 범위와 규모가 확대되면서 기업들이 긴징하고 있다.

사이버 위협 및 노출 인텔리전스 솔루션 기업 켈라(KELA)가 인포스틸러와 그로 인해 탈취 당한 자격 증명 사례를 분석한 ‘인포스틸러 전염 내부: 기업 보안에 대한 위험 노출’ 보고서를 발표했다.

이 보고서는 자격 증명 탈취를 확산하고 랜섬웨어 공격을 감행하는 데 인포스틸러 맬웨어의  악영향을 강조하며, 훔친 기업 자격 증명으로 인한 사이버 범죄 생태계를 조명한다.

인포스틸러의 악영향 확산세

보고서의 주요 결과로 ▲사이버 범죄 촉매제로서의 인포스틸러 맬웨어 ▲진화하는 자격 증명 시장 ▲표적화된 부문의 피해자 프로파일링 ▲자격 증명 악용 랜섬웨어 그룹 사례 등이 있다.

① 사이버 범죄 촉매제로서의 인포스틸러 맬웨어

자격 증명 탈취를 자동화하는 인포스틸러는 악용이 급증했으며, 종종 MaaS(Malware-as-a-Service) 모델을 통해 판매된다. 이러한 훔친 자격 증명은 랜섬웨어를 포함한 다양한 사이버 공격의 진입점이 된다.

② 훔친 자격 증명 거래 악용 가속

사이버 범죄자들은 전통적인 포럼에서 자동화된 시장 및 구독 기반 모델로 전환하여 자격 증명 거래를 더 빠르고 효율적으로 만들고 있다. 공격자들은 훔친 데이터를 쉽게 쿼리하고, 자격 증명을 구매하고, 이를 악용할 수 있다.

③ 기술 부문 종사자 겨냥

KELA는 2024년 7월부터 8월까지 300명의 인포스틸러 피해자를 여러 회사에 고용된 영향을 받은 개인과 연결해 프로젝트 관리(28%), 컨설팅(12%), 소프트웨어 개발(10.7%) 직원의 피해가 가장 잦다는 것을 발견했다.

기술 부문이 가장 많이 표적화되었으며, 브라질이 가장 큰 영향을 받은 지역으로 나타났다. 회사 자격 증명을 저장한 개인용 컴퓨터가 업무용 장치보다 더 일반적으로 감염되었으며, 대부분의 손상된 자격 증명은 현재 직원의 것이었다.

④ 주요 악용 랜섬웨어 그룹

KELA의 연구는 인포스틸러에 의해 손상된 계정과 Play, Akira, Rhysida 랜섬웨어 그룹 간의 연관성을 탐구했다.

여러 사례에서 이러한 랜섬웨어 그룹의 피해자 자격 증명이 보고된 공격 5일에서 95일 전에 사이버 범죄 시장에서 발견되었으며, 이는 훔친 자격 증명과 랜섬웨어 감염 간의 잠재적 연관성을 시사한다. 평균 시간은 2.5주였다.

인포스틸러 위협을 완화하기 위해 KELA는 조직에 적극적인 위협 모니터링, 사전 예방적 접근 관리, 강력한 엔드포인트 보호 및 직원 사이버 보안 인식 교육을 포함한 사전 예방적 방어 전략을 채택할 것을 권고했다.

KELA의 위협 인텔리전스 분석가 린 레비(Lin Levi)는 “우리의 연구는 사이버 범죄자들이 훔친 자격 증명을 얼마나 효율적으로 수익화하여 번성하는 지하 시장을 조성하는지 강조한다.”라며 “조직은 이러한 공격 체인이 유출 및 랜섬웨어 사고로 확대되기 전에 차단하기 위해 자격 증명 보안과 같은 사전 예방적 조치를 우선시해야 한다.”라고 말했다.