사이버 보안 솔루션 기업 애니런(ANY.RUN)이 오프라인으로 작동하는 새로운 상업용 랜섬웨어 변종인 마모나(Mamona)를 밝히는 새로운 악성코드 분석 결과를 발표했다. 이 랜섬웨어는 명령·제어(C2) 서버와의 통신 없이 로컬에서 완전 독립적으로 실행되며 피해자의 파일을 암호화하는 특징을 지닌다.

공격 보안 전문가이자 위협 인텔리전스 분석가인 마우로 엘드리치(Mauro Eldritch)가 수행한 이 연구는 마모나가 가짜 협박 전술, 사용자 지정 암호화 및 로컬 실행을 사용하여 탐지를 회피하면서도 피해자의 파일을 암호화하는 방법을 보여준다.

탐지 회피하는 맞춤형 암호화 및 자체 삭제 기능 포함

마모나는 범용 빌더 키트를 기반으로 제작되며, 제휴형 프로그램이나 체계적인 유포 경로 없이 단독 실행 파일 형태로 배포된다. 특히 블랙록(BlackLock) 캠페인과 연계돼 발견됐으며, 이전에 등장했던 엠바고(Embargo)와도 유사한 특성을 보인다. 이 랜섬웨어는 표준 암호화 라이브러리를 사용하지 않고, 사용자 정의된 암호화 루틴을 로컬에서 수행한다. 감염된 파일은 .HAes 확장자로 바뀌며, 몸값 요구 메시지는 여러 디렉토리에 저장된다.

마모나는 네트워크 흔적을 최소화하기 위해 IP 주소 127.0.0.7에 핑(ping)을 보내는 방식으로 타이밍 동작을 제어하고, 이후 자체 삭제 명령을 실행함으로써 포렌식 흔적까지 제거하는 정교함을 보인다. 이는 기존 C2 기반 랜섬웨어보다 탐지를 훨씬 어렵게 만든다.

데이터 유출 없이 협박...복구 도구는 존재하지만 완전 대응은 어려워

몸값 요구 메시지에는 피해자의 데이터를 외부로 유출하겠다는 위협이 포함돼 있으나, 실제로 분석 결과 외부 유출 정황은 확인되지 않았다. 이 같은 ‘가짜 강탈(faux extortion)’ 방식은 심리적 압박을 극대화하기 위한 수법으로 해석된다.

다행히 분석 과정에서 암호 해독 도구가 식별되어 일부 피해자는 파일 복구에 성공했다. 그러나 복구 도구의 인터페이스는 오래되어 사용성 측면에서 제약이 있으며, 향후 변종 등장 시 즉각적인 대응이 어려울 수 있다.

기업 보안체계의 맹점 노리는 신종 위협

마모나는 인터넷 연결을 사용하지 않는 완전 오프라인 방식으로 작동하는 첫 사례 중 하나로, 기존의 탐지 체계를 우회하는 전략을 사용함으로써 보안 체계의 새로운 취약 지점을 노리고 있다. C2 서버 탐지나 네트워크 기반 대응이 불가능한 상황에서, 오프라인 암호화와 자체 삭제 기능이 결합되며 조사 및 복구 작업의 난이도가 급격히 높아진다. 특히 기업 내부에서 USB 등을 통해 유입될 가능성도 있어, 폐쇄망 환경에서도 랜섬웨어 대응 체계를 강화할 필요가 제기된다.

향후 마모나와 유사한 독립 실행형 랜섬웨어의 등장이 이어질 경우, 샌드박스 기반 분석 환경의 강화와 함께 사용자 정의 암호화 탐지 기술의 필요성이 더욱 대두될 전망이다.