Akamai Diversity

Akamai 블로그

랜섬 요구의 귀환: 금융과 리테일 기업을 노리는 공격자들의 새로운 DDoS 공격 위협

[ 2020년 8월 24일 업데이트 ] 

아래에서 언급한 바와 같이 Akamai SIRT는 금융, 여행, 이커머스와 같은 다양한 업계에 랜섬(몸값)을 요구하는 편지를 보내는 이른바 Armada Collective 및 Fancy Bear의 공격을 추적하고 있습니다. 

이전 주의보에 포함된 정보 외에도, ARMS, DNS Flood, GRE Protocol Flood, SNMP Flood, SYN Flood, WSDiscovery Flood를 주요 기법으로 활용하는 공격의 피크 트래픽이 거의 200Gb/sec에 근접한 것을 확인했습니다. 이런 공격이 특정 지역을 표적으로 삼은 것 같지는 않습니다. 영국, 미국, 아시아 태평양 지역의 여러 기관들이 랜섬 요구 편지를 받았습니다.  

현재까지 랜섬을 요구하는 데드라인이 지난 후에 위협했던 대로 후속 공격이 시작된 경우는 없었던 것으로 파악됩니다. 따라서 공격을 받은 기업이 랜섬을 지불하는지 여부에 상관 없이 결과는 동일하다는 것을 알 수 있습니다. Akamai는 랜섬을 요구 받은 기업에게 랜섬을 지불하지 않는 것을 권장합니다. 

랜섬 공격을 일으키는 사람들은 최대한 적은 노력을 들여 빠르게 돈을 벌 수 있는 기회를 찾고 있는 것으로 보입니다.

 

원본 블로그 게시물 [ 2020년 8월 17일 ]

핵심 요약: 

Akamai는 Fancy Bear 및 Armada Collective라는 이름을 표방하는 이들이 새로운 위협을 발생시키고 있다는 것으로 파악하고 있습니다. 현재 은행, 금융, 리테일 기업을 비롯한 여러 분야가 표적이 되고 있습니다. Akamai는 이런 악성 활동을 지속적으로 모니터링하고 공격으로부터 고객을 계속 보호할 것입니다.

개요: 

Akamai 보안 인텔리전스 연구팀(SIRT)은 지난 1주일 동안 여러 분야의 기업을 표적으로 한 최근 DDoS 공격을 조사하고 있습니다. 갈취 요구는 과거 DDoS 랜섬 그룹의 요구와 유사합니다.

편지: 

먼저 비트코인으로 랜섬을 지불하지 않으면 DDoS 공격을 곧 시작하겠다는 협박 이메일이 오면서 연락이 시작되었습니다. 협박 내용은 지난 캠페인 기간에 언론에 공개된 내용과 매우 유사하며, Akamai가 2019년 11월에 발표한 마지막 DDoS 갈취 캠페인과도 비슷합니다.

만약 랜섬을 요구하는 협박 내용을 언론에 공개하면 공격을 즉각 시작할 것이라고 경고하는 경우도 있었습니다.

"랜섬을 지불하지 않고 이 사실을 언론에 공개하고 우리 이름을 사용해 무료로 홍보 효과를 거두려고 한다면 아주 오랜 시간 지속적인 공격을 받게 될 것이다. (원문 그대로임)" - Armada Collective

협박 편지는 임박한 공격이 단순히 인프라를 무너뜨리는 것 이상이 될 것이라고 경고하면서 평판 실추를 집중적으로 언급합니다.

"...모든 사용자들이 웹사이트 및 이와 관련된 서비스를 이용할 수 없을 것이다. 이로 인해 고객들 사이에서 기업의 평판이 크게 추락할 수 있다는 것을 명심하기 바란다. [...] 랜섬을 지불할 때까지 기업의 평판을 완전히 무너뜨리고 시스템을 오프라인 상태로 만들 것이다. (원문 그대로임)" - Fancy Bear

 

지불: 

Akamai가 Armada Collective의 갈취 요구를 확인한 결과, 랜섬은 5BTC에서 시작해 데드라인을 넘기면 10BTC로 높아지고 그 후로는 매일 5BTC씩 늘어납니다. 반면에 Fancy Bear는 20BTC에서 시작해 데드라인을 넘기면 30BTC로 높아지고 그 후로는 매일 10BTC씩 늘어납니다.

이런 랜섬 요구는 일반적으로 정해진 금액을 따르지만 금전적인 부분은 공격자의 기분에 따라 달라질 수 있습니다.

실제 공격:

이 편지는 공격 받는 기관의 자산을 확인했고 사태의 심각성을 증명하기 위해 소규모 '테스트' 공격을 하겠다고 예고합니다. 공격자들이 편지에서 최대 2Tbps의 DDoS 공격을 일으킬 수 있다고 주장하는 경우도 있습니다. 

Akamai 네트워크에서 한 고객을 대상으로 50Gb/sec의 공격이 발생한 사례도 있습니다. 공격 트래픽은 UDP 기반의 ARMS 프로토콜 반사 공격으로 구성되었고 사용된 반사기의 수는 현재까지 알려지지 않았습니다.

Akamai SIRT는 이러한 갈취 요구가 빨리 돈을 받아 내고 협박하기 위해 잘 알려진 공격 그룹의 평판을 이용한 카피캣으로부터 발생한 것으로 추측합니다.

랜섬을 지불한다고 해서 공격이 끝난다는 보장은 없습니다. 따라서 Akamai는 협박 편지를 받더라도 랜섬을 지불하지 않을 것을 권장합니다. 또한 랜섬을 지불하면 결국 공격 그룹의 범행에 자금을 지원하게 됩니다.


고객이 해야 할 일

Akamai Security Operations Center는 연중무휴 24시간 운영되며 Akamai의 방대한 클라우드 기반 방어 플랫폼은 이러한 위협에 대응할 준비가 되어 있습니다. 하지만 고객이 직접 다음과 같은 선제적인 조치를 하는 것도 좋습니다.

  • IT 및 보안 담당자와 함께 플레이북을 검토하고 공격이 발생했을 때 어떻게 대응해야 하는지 준비합니다.
  • 핵심 직원의 가용성을 확인합니다. 직원이 휴가 또는 병가로 부재한 경우 해당 업무를 대신 처리할 수 있는 직원이 있어야 합니다.
  • Akamai SOC와 긴밀하게 협력합니다. 
  • Akamai Community Security 페이지에서 업데이트 확인: https://community.akamai.com/community/security-research-and-intelligence