Royal 랜섬웨어란 무엇일까요?

분석가들은 Royal 랜섬웨어가 2022년 1월에 처음 등장했으며, 그 해 말에는 상당히 활발하게 활동했다고 봅니다. 2022년 말 Royal은 LockBit 및 BlackCat과 함께 가장 많이 활동한 랜섬웨어 그룹 중 하나였습니다. Royal 랜섬웨어 갱단은 침투 및 유출에 고급 기술을 사용하는 러시아어권 집단으로 알려져 있습니다. Trend Micro 및 기타 보안 기업의 분석가들은 Royal을 Zeon 랜섬웨어의 리브랜딩으로 생각합니다. 또한 Royal은 다른 형태의 랜섬웨어와 많은 유사점을 공유합니다. 예를 들어 Royal은 처음에 BlackCat 랜섬웨어의 암호화 툴을 사용했고, 나중에는 Conti 랜섬웨어와 유사한 랜섬 메시지를 남겼습니다. 따라서 연구원들은 이 그룹이 주로 이전에 Ryuk 랜섬웨어와 관련되었던 Conti 랜섬웨어 그룹의 이전 구성원들로 구성되었다고 의심하고 있습니다. 이는 운영자가 정교한 사이버 공격을 다년간 수행한 경험이 있음을 의미합니다. 2023년 말 현재, 당국은 Royal 그룹이 BlackSuit 랜섬웨어로 리브랜딩한 것으로 의심합니다. 두 단체가 유사한 코드와 방법을 사용하기 때문입니다. Royal 랜섬웨어 그룹은 화학, 통신, 제조, 댐, 방위 산업, 금융 서비스, 헬스케어, 쓰레기 처리, 원자력 에너지, 응급 서비스 등 많은 중요 인프라 부문을 표적으로 삼았습니다. 2023년 11월 현재 Royal은 전 세계 350명 이상의 알려진 피해자를 표적으로 삼아 총 2억 7500만 달러 이상의 랜섬을 거두었습니다.

Royal 사이버 공격의 배후에 있는 공격자들은 피싱 및 스피어 피싱 이메일과 콜백 피싱 사기를 이용해 랜섬웨어를 유포하는 경우가 많습니다. 콜백 피싱 사기는 사용자를 속여 원격 접속 멀웨어를 설치하도록 유도해 랜섬웨어 단체가 사용자의 머신에 쉽게 침투할 수 있도록 합니다. 추가적인 공격 기법과 초기 접속 기법은 다음과 같습니다.

• Batloader 및 IcedID와 같은 멀웨어 위협에 Royal 코드 포함

• 트로이 목마 사용 - 멀웨어에서 무기로 이용하고 진짜와 유사한 사이트에서 다운로드할 수 있는 정상적인 소프트웨어

• 원격 데스크톱 프로토콜(RDP) 애플리케이션 악용

• 웹 기반 자산의 취약점 악용

• 비즈니스 웹사이트 연락처 양식을 악용해 악성 링크 확산

• Google 광고를 통한 멀버타이징

Royal 랜섬웨어가 피해자의 IT 환경을 감염시키면 랜섬웨어 운영자는 다양한 기술, 기법 및 절차(TTP)를 사용해 공격의 영향을 극대화합니다.

• 방어 회피. Royal은 방어 체계를 회피하기 위해 PCHunter 및 Process Hacker와 같은 툴을 사용해 피해자의 머신에서 안티바이러스 제품을 수동으로 제거합니다.

• 정찰 수행. Royal 랜섬웨어는 NetScan, PsExec, AdFind와 같은 툴을 사용해 피해자의 Active Directory 및 커넥티드 시스템에 대한 데이터를 수집합니다. Royal 운영자는 2단계 페이로드를 추가로 다운로드할 수도 있습니다.

• 권한 에스컬레이션. 공격자는 측면 이동을 사용해 감염된 호스트에서 인증정보를 수집하고 클라우드 서비스 계정을 감염시킵니다.

• 데이터 유출. Royal은 정찰 중에 가치가 높은 표적을 식별한 후 코발트 스트라이크와 같은 정상적인 펜 테스트 툴을 사용해 민감한 데이터를 유출합니다.

• 복구 방지. Royal은 파일을 암호화하기 전에 볼륨 섀도 복사본을 삭제해 피해자가 Windows 시스템 복원을 통해 데이터를 복구하지 못하도록 합니다.

• 파일 암호화. Royal은 Microsoft Windows 시스템에서 파일을 암호화할 수 있도록 C++로 작성된 64비트 실행 파일을 사용해 파일을 암호화합니다. Royal은 랜섬웨어 방지 방어를 회피하기 위해 부분 암호화를 사용해 미리 확인한 파일 콘텐츠 부분을 암호화합니다. 또한 Royal은 여러 스레드를 사용해 암호화 프로세스를 가속합니다. 암호화된 파일은 파일 확장자 '.royal'로 표시됩니다.

• 랜섬 요구. Royal 공격자는 일반적으로 초기 랜섬 메시지에 랜섬 금액을 포함하지 않습니다. 대신 영향을 받는 각 디렉터리에 있는 README.txt 파일은 랜섬웨어 그룹과 통신하도록 피해자를 Tor 기반 포털로 안내합니다.

Royal 랜섬웨어 공격을 예방하고 탐지하려면 IT 및 보안팀이 멀티레이어 방어 및 방어 체계를 도입해야 합니다.

• 마이크로세그멘테이션 네트워크 및 개별 자산을 좁게 세그멘테이션하면 네트워크에서 공격자의 측면 이동을 방지해 Royal 랜섬웨어 공격의 잠재적인 피해를 제한할 수 있습니다.

• 지속적인 모니터링: IT 팀은 최신 감염 지표를 모니터링하고 코발트 스트라이크 및 이와 유사한 툴의 활성화와 안티바이러스 소프트웨어의 비활성화에 대한 알림을 설정해야 합니다.

• 제로 트러스트 아키텍처: 제로 트러스트 보안 접근 방식을 도입하면 모든 요청에서 모든 사용자와 디바이스에 인증을 요구하고 접속 권한을 엄격하게 제한함으로써 랜섬웨어를 방어할 수 있습니다.

• 사이버 보안 방어: 강력한 사이버 보안 체계를 구축하기 위해 IT 팀은 최신 위협 인텔리전스를 기반으로 정보를 제공하는 방화벽, 안티바이러스 소프트웨어, 안티멀웨어 기술, 이메일 필터링, 애플리케이션 허용 목록 및 기타 방어 체계를 배포할 수 있습니다.

• 보안 감사: 보안 제어를 정기적으로 감사하고 평가하면 네트워크의 취약점을 식별하고 해결하는 데 도움이 됩니다.

• 보안 교육: 직원에게 사이버 보안 위생의 모범 사례를 교육하면 피싱 이메일 및 기타 위협을 탐지하고 피하는 데 도움이 될 수 있습니다.

• 백업: 데이터를 정기적으로 백업하고 복사본을 오프라인 스토리지에 보관하면 IT 팀이 공격 발생 시 데이터를 신속하게 복원할 수 있습니다.

• ID 및 접속 관리(IAM): 멀티팩터 인증과 강력한 비밀번호를 사용하면 랜섬웨어 운영자의 무단 접속을 방지할 수 있습니다.

• 엔드포인트 보안: EDR(Endpoint Detection and Response) 솔루션은 실행 가능한 경로를 모니터링하고 제한해 휴대폰, 노트북, PC와 같은 개별 디바이스에서 랜섬웨어의 리스크를 최소화합니다.

• 업데이트 및 패치: 공격자가 악용할 수 있는 소프트웨어 및 운영 체제의 취약점을 해결하기 위해 IT 팀은 업데이트를 설치하고 패치를 적용하는 최적의 주기를 도입해야 합니다.

다른 많은 형태의 랜섬웨어와 마찬가지로, IT 팀은 잘 짜여진 인시던트 대응 계획의 일환으로 몇 가지 주요 단계를 수행해야 합니다.

• 감염된 시스템 격리: 감염된 시스템이나 드라이브는 인터넷, 네트워크 및 기타 시스템에서 즉시 분리해 추가 감염을 방지해야 합니다.

• 전문가에게 문의: 랜섬웨어 제거를 전문으로 하는 보안 기업은 랜섬웨어 공격의 여파에 대해 전문적인 지원을 제공할 수 있습니다.

• 감염 탐지: IT 팀은 랜섬웨어의 변종을 탐지함으로써 코드를 제거하고 잠재적인 암호 해독 툴을 검색하는 최선의 방법을 결정할 수 있습니다.

• 랜섬웨어 제거: IT 팀은 특수 툴을 사용해 영향을 받는 드라이브를 정리하고, 악용 키트를 제거하며, 공격자가 랜섬웨어를 재설치하는 데 사용한 취약점을 해결할 수 있습니다.

• 데이터 복구: 그런 다음 IT 팀은 깨끗한 백업 복사본에서 파일을 복원할 수 있습니다.

• 당국에 신고: FBI와 CISA(Cybersecurity and Infrastructure Security Agency)는 랜섬을 지불했는지 여부와 관계없이 모든 피해자에게 랜섬웨어 인시던트를 현지 사무소에 보고할 것을 촉구합니다.