* 출처는 안랩입니다.

언더그라운드(Underground) 랜섬웨어 갱단은 한국을 비롯해 전 세계 여러 국가와 다양한 산업 분야의 기업들을 대상으로 지속적인 공격을 이어가고 있다. 이들은 파일 암호화와 데이터 탈취를 동시에 수행하며, 몸값이 지불되지 않으면 민감한 정보를 공개하는 방식으로 위협 수위를 높이고 있다. 이번 글에서는 언더그라운드 랜섬웨어의 특징과 동작 방식, 그리고 주요 분석 결과를 함께 살펴보자.

1. ‘팀 언더그라운드’의 정체

‘팀 언더그라운드(Team Underground)’로 알려진 랜섬웨어 조직은 2023년 7월 초 처음 활동이 포착됐다. 이후 잠잠한 듯 보였으나, 2024년 5월 새로운 DLS(Dedicated Leak Sites)가 공개되면서 활동을 이어오고 있는 것이 확인됐다. 이들은 다른 랜섬웨어 조직과 마찬가지로 감염된 시스템의 파일을 암호화하고 기업의 민감 데이터를 탈취한 뒤, 몸값이 지불되지 않으면 이를 공개한다.

[그림 1] 팀 언더그라운드 로고

언더그라운드 랜섬웨어 갱단의 피해 기업 명단에는 아랍에미리트, 미국, 프랑스, 스페인, 호주, 독일, 슬로바키아, 대만, 싱가포르, 캐나다, 한국 등 다국적 기업들이 포함돼 있다. 산업 분야도 건설, 인테리어, 제조, IT 등으로 폭넓게 분포하며, 피해 기업의 연간 매출 규모는 2천만 달러에서 최대 6억 5천만 달러에 이른다. 이처럼 언더그라운드 랜섬웨어 갱단은 국가와 산업, 기업 규모를 가리지 않고 광범위하게 기업들을 표적으로 삼고 있으며, 공격 또한 전 세계적으로 빠르게 확산되고 있다.

2. 언더그라운드 랜섬웨어 개요

언더그라운드 랜섬웨어 악성코드는 난수 생성(RNG) 알고리즘과 AES 대칭키 암호화, RSA 비대칭키 암호화 기법을 조합해 파일을 암호화한다. 각 파일은 서로 다른 AES 키로 암호화되며, 해당 키 정보는 파일의 끝 부분에 추가로 삽입된다. 특히 암호화 이후 별도로 네트워크 통신 행위가 발생하지 않는 점이 특징으로, 로컬 환경에 남은 흔적만으로는 복호화가 불가능하도록 설계돼 있다.

• AES: 암호화 및 복호화에 동일한 키를 사용하는 대칭키 암호화 방식
  
• RSA: 데이터를 암호화(공개 키)와 복호화(개인 키)에 서로 다른 키를 사용하는 비대칭키 암호화 방식

AES 관련 정보는 악성코드 내부에 하드코딩된 RSA 공개키로 암호화되며, 공격자는 이에 대응하는 RSA개인 키를 사용해 AES 키를 복호화할 수 있다. 따라서 별도의 C2 서버와의 통신 없이도 암호화 파일만 확보하면 복호화가 가능한 구조다. 또한, 파일 크기에 따라 저용량, 일반, 대용량으로 구분해 암호화 방식을 달리한다. 저용량 파일은 전체를 암호화하지만, 크기가 클수록 상단과 하단, 중간 일부 구간만을 선택적으로 암호화하는 ‘스트라이프(Stripe) 방식’을 적용한다.

랜섬노트에는 단순히 데이터 암호화뿐만 아니라 보안 취약점 진단, 보안 강화 조언, 데이터 복구 지원 등 추가 서비스를 제공한다는 홍보 문구가 담겨 있으며, Tor 사이트 접속 주소와 로그인 정보도 포함돼 협상이 가능하도록 했다. 또한, 랜섬노트에 공격 대상 시스템의 IP와 탈취된 정보에 관한 문구가 사전에 삽입돼 있는 것이 확인됐다. 이는 곧 랜섬웨어 실행 이전에 이미 시스템 침해가 이뤄졌음을 보여준다. 공격자는 사전 정찰을 통해 특정 PC를 표적으로 선정하고, 맞춤형으로 변형된 랜섬웨어를 유포한 것이다. 즉, 이 랜섬웨어는 무차별적인 대규모 유포가 아니라 사전 침투 → 정보 수집 → 대상 지정 → 맞춤형 배포라는 정교한 절차를 거쳐 실행됐다고 볼 수 있다.

• Tor 사이트: 다크웹 사이트의 일종으로, '.onion' 이라는 특수 도메인을 사용하는 웹 사이트

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/35936