연구(Insikt)

랜섬웨어의 표적이 된 라틴 아메리카 정부

게시일: 2022년 6월 14일

작성자: Insikt Group®

레코디드 퓨처는 2022년 1월부터 5월까지 라틴 아메리카(LATAM) 정부를 대상으로 한 최근 사이버 공격의 증가 추세를 조사했습니다. 저희는 취약점, 공격 벡터, 침해 지표(IOC)를 분석하고, 중남미 정부를 노리는 랜섬웨어 조직을 파악했으며, 이 지역의 적절한 사이버 보안 위생이 부족하다는 점을 강조했습니다. 이 보고서에는 Recorded Future®플랫폼, 다크웹 소스, 오픈소스 인텔리전스 기법(OSINT)을 사용하여 수집한 정보가 포함되어 있습니다.

Executive Summary

저희는 2022년 4월경부터 러시아 또는 러시아어를 사용하는 위협 행위자가 연루된 것으로 보이는 랜섬웨어 공격의 영향을 받은 라틴 아메리카(LATAM)의 여러 정부 기관을 확인했습니다. 영향을 받은 국가로는 코스타리카, 페루, 멕시코, 에콰도르, 브라질, 아르헨티나 등이 있으며, 이들 국가는 모두 유엔 총회(UNGA)에서 우크라이나를 침공한 러시아를 공개적으로 규탄했습니다. 이들 국가 중 일부는 2022년 4월 초에 러시아를 유엔 인권이사회(UNHRC)에서 탈퇴시키기로 결정하기도 했습니다. 최근에는 코스타리카 등에서 이러한 공격과 관련하여 국가 비상사태가 발령되기도 했습니다. 중남미 정부를 대상으로 한 이러한 공격에 연루된 랜섬웨어 그룹에는 Conti, ALPHV, LockBit 2.0, BlackByte가 있습니다. 최상위 수준의 러시아어 다크웹에서 초기 접속 중개(IAB) 서비스가 눈에 띄게 증가하고 있으며, 중남미 지역의 기업과 관련된 저비용의 손상된 네트워크 접속 방법을 광고하는 XSS 및 익스플로잇과 같은 특수 접속 포럼이 눈에 띄게 증가하고 있는 것으로 확인되었습니다. 또한, 2022년 4월에 데이터 덤프가 급증한 BreachForums와 같은 저급 및 중급 영어권 포럼에서 라틴아메리카의 기업과 관련된 여러 건의 유명 데이터베이스 유출이 관찰되었습니다. 또한, 2021년 대비 2022년 1분기와 2분기에 다크웹 상점에서 중남미 정부 도메인에 영향을 미치는 유출된 인증정보의 판매가 크게 증가한 것을 확인했습니다. 이러한 관찰과 동향은 랜섬웨어와 광범위한 사이버 범죄 커뮤니티에서 정부 기관 표적화에 대한 '불문율' 및 내부 그룹 정책과 관련된 패러다임의 변화를 나타낼 수 있습니다.

주요 판단

유출된 샘플 데이터, 위협 행위자의 징후, 추적된 랜섬웨어 운영자 및 계열사와 관련된 과거 활동, 패턴 및 동향을 분석한 결과 중남미 정부 기관에 대한 랜섬웨어 공격의 신뢰도가 높습니다.
이 문제를 해결하지 않으면 중남미 지역의 지방, 주 또는 연방 정부 기관에 대한 랜섬웨어 공격은 국가 및 지정학적 보안 위협이 될 수 있습니다. 중남미 지역은 이러한 위협을 방어할 수 있는 적절한 사이버 보안 교육, 위생 및 인프라가 부족하기 때문에 랜섬웨어 운영자 및 계열사에게 여전히 매력적인 표적이 될 것입니다. 중남미 정부 기관에 대한 공격이 인프라 및 중요 서비스를 표적으로 하는 공격으로 확대된다면 이는 심각한 국가 안보 위험을 초래할 수 있습니다.
중남미 정부 기관을 표적으로 삼는 랜섬웨어 조직이 가장 많이 사용하는 공격 벡터는 인포스틸러 감염, 초기 액세스 브로커 판매 또는 다크웹 상점이나 마켓플레이스에서의 구매를 통해 획득한 손상된 유효한 인증 정보를 사용하는 것입니다.
중남미 정부 기관에 대한 표적 공격은 전 세계 정부를 표적으로 삼는 내부 사이버 범죄 정책에서 벗어나려는 초기 단계의 변화일 수 있습니다.

위협 분석

공격 벡터

2022년 5월 26일 현재, 중남미 정부 기관을 표적으로 삼는 랜섬웨어 운영자 및 계열사가 사용하는 공격 벡터를 명확히 파악할 수 없습니다. 그러나 위협 행위자가 네트워크에 대한 초기 액세스 권한을 얻는 가장 일반적인 방법은 손상된 유효한 인증 정보 쌍(T1078)과 세션 쿠키(T1539)를 사용하는 것으로, 이는 종종 성공적인 인포스틸러 감염(T1555, T1083)에서 수집되어 다크 웹 및 특수 액세스 소스의 전문 '초기 액세스 브로커'가 판매하는 것입니다. 이는 이러한 위협 행위자가 손상된 중남미 정부 네트워크에 액세스하는 가장 유력한 경로입니다. 이러한 인포스틸러는 피싱(T1566), 스팸, 의도치 않은 악성(T1204) 또는 위장(T1036) 파일 다운로드 등 다양한 방법을 통해 유포되는 경우가 많습니다. 2022년 3월경부터 다크웹 및 특수 액세스 소스를 통해 중남미 정부 기관을 대상으로 한 초기 액세스 판매 및 데이터베이스 유출에 대한 언급이 소폭이지만 지속적으로 증가하는 것을 관찰했습니다. 이러한 관찰 사항은 Insikt Group의 일일 위협 리드, 분석가 노트 및 보고서를 통해 일화적으로 기록됩니다. 최상위급 러시아어 포럼인 XSS 및 익스플로잇에서 "zirochka"와 같은 여러 위협 행위자가 비교적 저렴한 가격(< $100)으로 중남미 지역의 기업을 대상으로 손상된 네트워크 액세스를 대량으로 경매하는 것을 관찰했습니다.

라틴아메리카-미국-정부-표적-랜섬웨어-0.png 그림 1: 다크웹 및 특수 액세스 소스에서 중남미 정부 기관에 대한 랜섬웨어 공격의 타임라인(출처: Recorded Future)

중남미 정부 기관과 관련된 데이터베이스 덤프가 2022년 3월부터 소폭 증가하여 2022년 4월 4일에 급증하는 것을 관찰했습니다. 또한 2022년 2월부터 시작된 2022년 1분기에 러시아 마켓, 제네시스 스토어, 2easy Shop과 같은 다크웹 상점 및 마켓플레이스에서 중남미 정부 기관이 소유한 도메인에 대한 참조가 2021년 같은 기간에 비해 크게 증가한 것을 확인했습니다. 이러한 다크 웹 상점과 마켓플레이스는 피해자의 네트워크에 액세스하는 데 사용할 수 있는 손상된 계정 자격 증명, 원격 데스크톱 프로토콜(RDP) 및 보안 셸(SSH) 액세스, 인포스틸러 멀웨어 '로그'를 전문적으로 판매합니다. 중남미 정부 기관 및 도메인을 대상으로 하는 광고의 공급, 빈도 및 양의 증가와 중남미 정부 기관을 대상으로 하는 랜섬웨어 공격 사이의 직접적인 또는 인과 관계를 확인할 수는 없지만, 이러한 추세와 관찰을 통해 가능한 상관관계를 분석하고 확인하기 위한 추가 연구가 필요하다고 판단됩니다.

라틴아메리카-미국-정부-표적-랜섬웨어-1.png

라틴아메리카-미국-정부-표적-랜섬웨어-2.png

그림 2: 라틴아메리카에서 불특정 다수를 대상으로 하는 대량 초기 접속 경매의 예(출처: 익스플로잇 포럼)

중남미 정부 기관을 노리는 랜섬웨어 조직

2022년 4월 1일부터 시작된 기간 동안 중남미 정부 기관을 표적으로 삼는 신뢰도가 높은 랜섬웨어 조직이 최소 4건 이상 관찰되었습니다. 이러한 그룹에는 Conti, ALPHV(BlackCat), LockBit 2.0, BlackByte 등이 있습니다. 이러한 사건은 랜섬웨어 표적 공격의 심각성과 영향력이 크게 확대된 것을 의미합니다. 일반적으로 랜섬웨어 계열사는 의료 시설, 초중고 교육 기관, 국제 기구 및 연합, 지방, 주 또는 연방 정부를 표적으로 삼지 않습니다. 이러한 업계의 표적이 공격을 받으면 다크 웹과 특수 액세스 포럼, 주류 언론의 관심, 국제 법 집행 활동에서 부정적인 여론과 낙인이 찍힐 위험이 급격히 증가합니다. 러시아 또는 러시아어를 사용하는 것으로 추정되는 랜섬웨어 조직이 라틴아메리카 기업을 표적으로 삼는 것은 이전에 그룹 내부적으로 제재를 받았던 표적이 이제 랜섬웨어 공격의 실행 가능한 대상이 될 수 있는 패러다임 전환의 시작을 알리는 신호탄이 될 수 있습니다.

Conti

이 중 가장 주목할 만한 공격은 코스타리카 정부에 대한 콘티의 공격으로, 랜섬웨어 공격으로 인해 세계 최초로 국가 비상사태가 선포된 사건입니다. "와자와카"라고도 알려진 랜섬웨어 계열사 또는 제휴 그룹인 "unc1756"의 소행으로 추정되는 이 공격은 언론과 법 집행 기관의 광범위한 관심을 받고 있습니다. 계열사들은 종종 더 큰 랜섬웨어 '브랜드'와 독립적으로 활동하기 때문에, 콘티가 주장한 코스타리카에 대한 공격은 더 큰 그룹의 소행이 아닐 가능성이 있습니다. 콘티는 재무부(hacienda[.]go[.]cr), 노동 및 사회보장부(mtss[.]go[..cr), 개발기금 및 가족수당국(fodesaf[..go[.cr) 등 여러 코스타리카 기관의 관리 및 운영과 관련된 약 1TB의 민감한 정보를 유출, 암호화 또는 폐기했다고 주장하고 있습니다,) 코스타리카 알라후엘라의 대학 간 본부(siua[.]ac[.]cr). 이전 콘티 게시물에서도 수도 및 전기와 같은 공공 유틸리티를 통제한다는 모호한 언급이 있었는데, 이는 이 그룹이 코스타리카 산업 제어 시스템/감독 제어 및 데이터 수집(ICS/SCADA) 환경에 접근할 수 있었음을 간접적으로 시사하는 것일 수 있습니다. 그러나 이러한 주장을 확인할 수는 없습니다. 콘티는 코스타리카에 대한 공격에 이어 정보총국(digimin[.]gob[.]pe)에 영향을 준 페루에 대한 공격도 주장했습니다. 및 경제 재정부(mef[.]gob[.]pe).

라틴아메리카-미국-정부-표적-랜섬웨어-3.png

라틴아메리카-미국-정부-표적-랜섬웨어-4.png

그림 3: 콘티 갱의 코스타리카 및 페루 정부 기관에 대한 공격 발표(출처: Conti.News)

ALPHV(블랙캣)

2022년 4월 16일, 랜섬웨어 조직 ALPHV(BlackCat)는 에콰도르 키토시(quito[.]gob[.]ec)와 관련된 불특정 다수의 손상된 데이터를 유출했습니다. ALPHV가 중남미에 위치한 정부 기관을 표적으로 삼은 것은 이번이 처음입니다. 에콰도르 언론에 따르면 이 공격으로 인해 여러 서비스가 불특정 시간 동안 오프라인 상태가 되었습니다. 키토 시장실과 주 법무장관실은 초기 공격으로 인해 몇몇 중요한 정부 서비스가 "중단"되어 "절차를 수행하지 못한 사용자들이 불편을 겪었다"고 확인했기 때문에 주목할 만한 사건입니다. 2022년 4월 25일 현재, ALPHV에 의해 유출되었다고 주장되는 모든 정보는 .onion에서 무료로 다운로드할 수 있습니다. 도메인이 동일한 이름의 공개 ALPHV 탈취 웹사이트에 제공되었습니다. 유출된 정보에는 에콰도르 키토시의 운영 및 행정과 관련된 민감한 재무, 법률 및 정치 문서가 포함되어 있을 가능성이 높습니다. 이 정보가 기회주의적 위협 행위자, 범죄자 또는 국가에 의해 활용될 경우 에콰도르의 국가 안보에 해를 끼칠 수 있습니다.

라틴아메리카-미국-정부-표적-랜섬웨어-5.png

그림 4: 블랙캣 랜섬웨어 그룹의 에콰도르 키토 지방 자치단체 공격 발표(출처: ALPHV)

LockBit 2.0

2022년 5월 23일, 록빗 2.0 랜섬웨어 조직은 블로그에 멕시코 모렐로스 주 보건부 장관과 관련된 파일(saludparatodos[.]ssm[.]gob[.]mx)을 유출했습니다, 2022년 5월 16일 또는 그 전후에 처음 공개된 침해입니다. 이 공개는 앞서 2022년 4월 22일에 LockBit 2.0이 브라질 리우데자네이루 재무부 장관의 네트워크를 손상시켰다는 주장에 이은 것입니다(fazenda[.]rj[.]gov[.]br). 이 두 사건은 멕시코나 브라질 언론에 널리 보도되지 않았습니다. 2022년 4월 25일 현재, 이 공격으로 인해 정부 기관과 관련된 중요 서비스에 심각한 장애가 발생했는지 여부는 불분명합니다. 또한, 2022년 4월 25일 현재 LockBit 2.0 랜섬웨어 조직이 유출했다고 주장하는 모든 정보는 공개적으로 운영되는 LockBit 2.0 탈취 웹 사이트인 LockBit 2.0 Leaked Data에서 무료로 다운로드할 수 있습니다. 유출된 정보에는 이러한 단체의 운영 및 관리와 관련된 민감한 재무, 법률, 정치 문서가 포함되어 있을 가능성이 높습니다. 이 정보가 기회주의적 위협 행위자, 범죄자 또는 국가에 의해 활용될 경우 멕시코와 브라질의 국가 안보에 해를 끼칠 수 있습니다.

라틴아메리카-미국-정부-표적-랜섬웨어-6.png

라틴아메리카-미국-정부-표적-랜섬웨어-7.png

그림 5: 멕시코와 브라질 정부 기관에 대한 LockBit 갱의 공격 발표(출처: LockBit 블로그)

BlackByte

2022년 5월 21일, 블랙바이트 랜섬웨어 운영자는 블랙바이트 블로그라는 이름의 공개적인 갈취 웹사이트를 통해 페루 공화국 감사원의 내부 네트워크를 손상시켰다고 주장했습니다(contraloria[.]gob[.]pe). 2022년 4월 25일 현재, 블랙바이트 랜섬웨어 운영자는 이 정부 기관과 관련된 주목할 만한 데이터를 공개하지 않았습니다. 이 공격은 아직 페루 감사원 관계자에 의해 확인되지 않았으며 페루 또는 스페인어 언론에서 광범위하게 보도되지 않았습니다. 이 글을 쓰는 현재로서는 이 공격으로 인해 감사원이 제공하는 중요 서비스가 중단되었는지 확인할 수 없지만, 도메인에서 감지된 서비스 중단이 이 공격과 관련이 있을 가능성이 높습니다.

라틴아메리카-미국-정부-표적-랜섬웨어-8.png

그림 6: 블랙바이트 랜섬웨어 조직의 페루 정부 기관 공격 발표(출처: 블랙바이트 블로그)

라틴 아메리카의 사이버 보안 위생 및 동향

중남미 대부분의 국가가 국가 사이버 보안 전략을 채택했지만 민간 및 공공 부문의 사이버 역량과 보안 태세 개선 측면에서 아직 해야 할 일이 많으며, 현재 중남미 3개국(브라질, 도미니카 공화국, 멕시코)만이 30개 이상의 국가가 참여하는 랜섬웨어 태스크포스의 회원국입니다. 가장 효과적인 투자는 중남미 및 카리브해 지역 주민들에게 IT 보안 중심의 학교 및 교육 기관에 직접 또는 원격으로 액세스할 수 있는 권한을 부여하는 것입니다. 이 지역의 교육 및 훈련 기관은 현재 IT 보안 전문가에 대한 수요를 따라잡을 수 없습니다. 교육, 훈련 및 견습 프로그램에 대한 투자는 역량을 구축하고 사이버 기술 격차를 해소하며 더 많은 인재를 사이버 인재 파이프라인으로 끌어들이는 데 가장 큰 변화를 가져올 것입니다. 특히 팬데믹 기간 동안 사이버 범죄와 사기의 영향을 많이 받은 아태지역은 젊은 층이 사이버 영역에서 교육과 훈련을 받도록 지원하고 장려하면 기술 부족 문제를 해결하고 사이버 위협에 대한 대중의 인식을 개선하는 데 큰 영향을 줄 수 있습니다.

국가별로 사이버 보안에 대한 접근 방식이 다르기 때문에 평가하기는 어렵지만, 사이버 보안을 민간 기업에 맡기기로 한 국가도 있고 정부 기관과 군대에 의존해 사이버 범죄자들과 싸우고 있는 국가도 있습니다. 미주기구(OAS) 사이버 보안 관측소에 따르면 대부분의 중남미 국가는 사이버 보안 개발 초기 단계에 있는 것으로 나타났습니다. 결과적으로 중미 및 카리브해 국가에서는 사이버 보안 정책 측면에서 아직 달성하고 구현해야 할 것이 많습니다. 그럼에도 불구하고 아르헨티나, 도미니카 공화국, 에콰도르, 파나마, 페루 등의 국가에서는 사이버 역량을 발전시키기 위해 많은 노력을 기울이고 있습니다. 그러나 브라질, 우루과이, 콜롬비아, 칠레 등 정책, 법적 프레임워크, 제도적 역량, 인적 자원이 확립된 소수의 국가가 있습니다. 아직 개발 중이지만 브라질, 콜롬비아, 칠레, 멕시코와 같은 국가에서는 사이버 법률, 정책 및 규정 개발 등 제도적 역량을 확대하는 데 앞장서고 있습니다. 또한 이들 국가에서는 민간 부문, 주로 금융 부문의 전문성이 증가하고 있습니다.

완화 조치

랜섬웨어 감염 시 데이터 손실을 방지하기 위해 조직 데이터의 오프라인 백업을 유지하고 이러한 백업이 최신 상태로 유지되도록 하는 것이 중요합니다. 또한 전반적인 위험과 영향을 줄이기 위해 다음과 같은 완화 조치를 권장합니다:

랜섬웨어는 SIEM 플랫폼과 통합된 강력한 위협 인텔리전스 시스템으로 탐지할 수 있는 특정 행동 패턴을 따르는 경우가 많습니다.
- 서명 기반 탐지를 통해 멀웨어를 식별하려면 Recorded Future Hunting Packages에 있는 것과 같은 YARA 규칙을 구현하거나 엔드포인트 기반 탐지를 위해 SNORT 규칙을 구현하세요.
- 이 보고서에서 제공하는 IOC는 랜섬웨어와 관련된 파일 해시, 레지스트리 키, IP 트래픽과 같은 항목을 사전에 쿼리하거나 스캔하는 데 사용할 수 있습니다.
네트워크 분할은 조직의 네트워크를 통해 랜섬웨어가 전파되는 것을 막을 수 있습니다. 이 솔루션은 대규모 네트워크를 더 작은 네트워크 세그먼트로 분할하는 것으로 방화벽, 가상-로컬 영역 네트워크 또는 기타 분리 기술을 통해 수행할 수 있습니다.
침입 탐지/침입 방지(IDS/IPS) 시스템과 엔드포인트 탐지 및 대응(EDR) 시스템을 구현하세요.
직원과 스태프에게 강력한 피싱 방지 교육을 제공하세요.
원격 액세스 솔루션이 일상 업무에 중요한 역할을 하는 경우, Citrix 및 RDP와 같은 모든 원격 액세스 서비스 및 프로토콜은 2단계 또는 다중 인증을 사용하여 구현해야 합니다.
- 노출된 RDP 서버는 또한 위협 공격자가 공격 대상의 네트워크에 대한 초기 액세스 권한을 얻기 위해 악용되기도 합니다. 위협 행위자는 인터넷에 연결된 서버가 RDP를 실행하는 네트워크를 찾은 다음 해당 서버의 취약점을 악용하거나 무차별 암호 대입 공격을 사용합니다. 네트워크에 침투한 위협 행위자는 측면으로 이동하여 대상 컴퓨터에 랜섬웨어를 설치하여 백업 및 기타 보호 기능을 비활성화하는 경우가 많습니다.
프로세스 모니터링을 사용하여 데이터 삭제 활동과 관련된 바이너리(예: vssadmin, wbadmin, bcdedit)의 실행 및 명령을 모니터링합니다.
의심스러운 파일 수정 활동, 특히 사용자 디렉터리에서 대량의 파일 수정이 발생하는지 모니터링합니다.
민감한 고객 정보는 인터넷에서 분리되어 있거나 나머지 기업 네트워크와 분리된 시스템에 보관하는 것이 좋습니다. 랜섬웨어는 피해 시스템의 모든 파일을 암호화하고 네트워크상의 디렉터리(예: 네트워크 파일 공유)도 암호화하기 위해 검색하는 경우가 많으므로, 매우 중요한 고객 데이터를 인터넷에 액세스하거나 나머지 네트워크에 액세스할 수 없는 시스템으로 이동하면 랜섬웨어가 해당 파일에 액세스하는 것을 최소화할 수 있습니다.

전망

랜섬웨어는 서비스형 랜섬웨어(비기술적 위협 공격자의 경우)로 제공되고 감염 성공률이 높기 때문에 중남미 지역의 공공 및 민간 기관을 표적으로 삼는 위협 공격자들의 공격 방법에 계속 포함될 가능성이 높습니다. 유출된 계정과 네트워크는 계정 탈취, 신원 도용, 소셜 엔지니어링, 크리덴셜 스터핑, 무차별 대입 등 다양한 공격 경로에 사용될 수 있기 때문에 위협 행위자들이 많이 찾고 있으며 앞으로도 수요가 높을 것으로 예상됩니다. 중남미는 여러 가지 이유(지정학적 상황, 인프라 개발 등)로 인해 다른 지역만큼 보안 태세가 정교하거나 발전하지 않은 신흥 지역이므로 위협 공격자는 중남미 기업을 인포스틸러 감염을 통해 민감하고 재정적으로 수익성이 높은 계정을 탈취하기 쉬운 표적으로 간주할 수 있습니다.

아태 지역의 사고 대응팀이 보안 태세를 강화함에 따라 위협 공격자들은 개인 및 기업 계정 로그인 정보와 기타 중요한 데이터를 수집하기 위해 계속해서 인포스틸러 변종을 개선하고 만들어 중남미 지역의 조직을 표적으로 삼을 가능성이 높습니다.