* 출처는 안랩입니다.
아키라(Akira)는 2023년 3월부터 활동을 시작한 비교적 최근에 등장한 랜섬웨어 공격자로, 다른 랜섬웨어 공격자들과 유사하게 조직에 침투한 이후 파일을 암호화하고 민감한 정보를 탈취해 이를 협상 도구로 활용한다. 2024년 통계에서도 아키라 랜섬웨어에 의해 피해를 입은 기업의 수가 상위권을 차지하며, 그 위협의 심각성을 더욱 부각시키고 있다. 이번 글에서는 아키라 랜섬웨어 공격자의 알려진 공격 방식들을 소개하고, 이를 안랩의 EDR로 탐지하는 방법들을 살펴본다.
2024년 랜섬웨어 별 피해 기업에 관한 통계는 [그림 1]과 같다. 아키라 랜섬웨어가 가장 높은 수치를 기록한 것을 확인할 수 있다.
[그림 1] 2024년 랜섬웨어 피해 통계
공격자는 랜섬웨어를 통해 조직의 시스템을 암호화한 후 협상을 위한 토어(Tor) 웹사이트를 안내하는데, 요구사항이 충족되지 않을 경우 공격 과정에서 탈취한 민감한 정보를 공개하기도 한다. 실제 공격자가 운영하는 토어 웹사이트에서도 피해 업체들이 지속적으로 공개되고 있다.
[그림 2] 아키라 공격자의 토어 웹사이트
초기 침투 방식으로는 다중 요소 인증(MFA)이 적용되지 않은 VPN 계정을 악용하거나 다양한 취약점들을 공격하는 것으로 알려져 있다. 대표적으로 포티넷(Fortinet)사의 CVE-2019-6693와 CVE-2022-40684, CVE-2023-48788, 그리고 시스코 사의 CVE-2020-3259, CVE-2023-20269이 있다. 또한, 소닉월(SonicWall) 제품의 CVE-2024-40766 취약점을 공격하기도 했다. 아키라 랜섬웨어 공격자는 이외에도 공격 과정에서 권한 상승을 목적으로 빔 백업&리플리케이션(Veeam Backup & Replication) 서버의 CVE-2024-40711 취약점이나 VM웨어 ESXi(VMware ESXi)의 CVE-2024-37085 취약점을 악용하기도 했다.
안랩은 자사 EDR 솔루션인 ‘AhnLab EDR’을 활용해 아키라 랜섬웨어를 탐지했다. 안랩에 따르면, 아키라 랜섬웨어는 다음 7단계를 과정을 거쳐 공격 행위를 펼치는 것으로 확인된다.
[그림 3] AhnLab EDR
1. 탐지(Discovery)
공격자들은 포트 스캐닝을 통해 공격 대상 도메인에서 현재 활성화된 시스템 및 포트 번호, 다시 말해동작 중인 서비스의 정보를 획득할 수 있다. 이러한 네트워크 탐색 과정을 통해 서브넷 정보, 호스트 정보 등 네트워크 구조를 확인한다. 아키라 랜섬웨어 공격자는 네트워크 정보를 수집하는 과정에서 고급 IP 스캐너(Advanced IP Scanner)나 넷스캔(NetScan) 도구를 활용하는 것으로 알려져 있다.
이후 도메인 컨트롤러나 도메인 트러스트 관계 등 현재 네트워크 상의 액티브 디렉터리(Active Directory) 정보를 수집한다. 공격자는 윈도우 기본 도구인 Nltest를 활용하거나 대표적인 도구인 AdFind를 설치하기도 한다. 공격자는 AdFind의 결과를 활용해 도메인 환경의 구조를 파악하고, 측면 이동을 위한 공격 대상을 식별할 수 있다.
또한, 공격자는 블러드하운드(BloodHound)도 사용한다. 블러드하운드는 액티브 디랙터리 도메인 관련 정보를 수집해 권한 상승이 가능한 공격 경로를 분석하는 도구이다. 이 도구는 GUI 기반의 모델링 결과를 제공하며, 공격자가 도메인 내에서 관리자 권한을 얻기 위한 최단 경로를 그래프 형태로 시각화해 보여준다.
[그림 4] 디스커버리 단계에서 사용되는 공격자의 행위들에 대한 EDR 탐지
* 전체내용은 아래에서 확인하세요.
![[포인트 마켓] LEADCOOL 120 PWM (화이트) x 3개](http://img.danawa.com/prod_img/500000/531/941/img/12941531_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
