* 출처는 안랩입니다.
랜섬웨어 그룹 ‘나이트스파이어(NightSpire)’의 공격 사례가 최근 국내에서 확인됐다. 이들은 피해 조직의 정보를 공개하는 전용 정보 유출 사이트(Dedicated Leak Sites, DLS)를 운영하며, 데이터 공개 카운트다운 타이머와 함께 협박 메시지를 게시한다. 특히 극도로 위협적인 언어를 사용해 사이버 협박 강도를 높이는 것이 특징이다. 이번 글에서는 나이트스파이어 랜섬웨어의 분석 결과와 특징을 정리한다.
나이트스파이어는 2025년 2월부터 활동을 시작한 랜섬웨어 그룹으로, 매우 공격적인 전략과 전문화된 인프라를 갖춘 것으로 추정된다. 이런 운영 방식은 기존의 서비스형 랜섬웨어(Ransomware-as-a-Service, RaaS) 운영 방식과 유사하다.
[그림 1] 나이트스파이어 팀 로고
나이트스파이어는 완전히 새롭게 등장한 조직인지, 아니면 기존 그룹의 리브랜딩인지는 아직 명확히 확인되지 않았다. 다만 이들은 DLS (Dedicated Leak Sites)를 운영하며 피해 데이터를 게시하고, 공개 시점을 알리는 카운트다운 타이머로 압박을 가한다. 여기에 지불을 거부하면 데이터를 폭로하겠다는 협박과 함께, 프로톤메일(ProtonMail), 어니언메일(OnionMail), 텔레그램(Telegram) 등 다양한 채널을 통해 피해자와 접촉한다. 또한, 기업의 보안 취약점을 파고들어 침투하는 행태가 보고되고 있다.
현재까지 나이트스파이어의 피해 기업들은 여러 국가와 산업군에 걸쳐 있다. 미국의 소매 및 도매업, 일본의 화학 산업과 제조업, 태국의 해양 산업, 영국의 회계 서비스, 중국의 대기업, 폴란드의 제조업, 홍콩의 비즈니스 서비스 및 건설업, 그리고 대만(타이완)의 기술 및 금융 서비스 분야의 기업들이 공격받았다.
나이트스파이어가 조직 내 시스템을 조작하기 위해 사용하는 명령을 정리하면 다음과 같다.
|
구분 |
내용 |
|
암호화 대상 |
os_Stat() 함수 호출 시 정상적으로 접근 가능한 모든 파일 및 디렉터리. |
|
암호화 방식 |
전체 암호화/블록 암호화 |
|
랜섬노트 생성 |
암호화를 수행한 폴더 전체 |
|
바탕화면 변경 |
변경 안함 |
|
암호화 확장자 |
.nspire |
|
볼륨 섀도우 삭제 |
없음 |
[표 1] 시스템 조작에 사용되는 명령
나이트스파이어 랜섬웨어는 파일을 암호화할 때 [표 2] 와 같이 확장자를 블록 암호화 또는 전체 암호화 방식으로 구분해 사용한다. 랜섬웨어가 블록 암호화를 선택하는 이유는 주로 성능(속도)과 효율성 때문이다.
|
암호화 대상 확장자 |
암호화 방식 |
|
iso, vhdx, vmdk, zip, vib, bak, mdf, flt, ldf |
블록 암호화(1MB) |
|
이 외 확장자 |
전체 암호화 |
[표 2] 시스템 조작을 위해 사용되는 명령
나이트스파이어 랜섬웨어는 파일의 종류에 따라 서로 다른 암호화 방식을 사용한다.
* 전체내용은 아래에서 확인하세요.
![[리뷰 상품] 스마트카라 400 Pro X SC-D0209](https://img.danuri.io/catalog-image/018/368/096/4d693842ea2144ba825bba38cd529a07.jpg?fitting=Large|140:105&crop=140:105;*,*)
