취약한 서버 타깃, 고급 암호화 기술과 은밀한 침투로 높은 몸값 요구
다양한 감염 방법과 공격 벡터 사용, 이중 갈취 접근 방식, 자세한 몸값 메모
MFA, 정기 SW 패치, 이메일 보안, 액세스 제어, 세그멘테이션, 에어 갭 백업 보안 강화해야

[보안뉴스 김경애 기자] 고급 암호화 기술과 은밀한 침투로 정평이 난 ‘트리고나 랜섬웨어’가 기승을 부리고 있다. 특히, 취약한 서버를 대상으로 집중공격하고 있어 이용자들의 각별한 주의가 필요하다.


트리고나 랜섬웨어(Trigona Ransomware)는 피해자의 데이터를 암호화하고 암호 해독 키를 대가로 높은 몸값을 요구하도록 설계된 정교한 랜섬웨어 변종이다. 2022년 말에 처음 포착됐으며, 공격대상은 엔지니어링 회사, 제조 회사, 의료 서비스 제공업체 및 지방 정부 등 다양하다. 주로 취약한 서버를 중점적으로 공격해 높은 몸값을 요구하고 있다.

정상 프로세스와 혼합 공격 전술로 보안 솔루션 탐지 회피
공격자들의 공격 방식은 △RDP 취약점 악용 △피싱 △무차별 대입 공격 △다양한 취약점을 악용하는 등 다양한 감염 방법과 공격 벡터를 사용해 피해를 높이고 있다.

주로 RDP 취약점을 이용해 RDP·SQL을 실행하고, 중요한 파일을 동적 RSA 암호화 등 강력한 파일 암호화 기술로 암호화한다.

또다른 공격 방법은 사기성 이메일 캠페인이다. 이는 트리고나램섬웨어의 공격 벡터 중 가장 인기 있는 방법이다. 이메일은 순진한 수신자를 속여 악성 첨부 파일이나 링크를 통해 랜섬웨어를 다운로드하고 실행하도록 설계되었다.

또한, 트리고나 랜섬웨어 운영자는 RDP 및 SQL 서버에 대한 취약하거나 기본 자격 증명을 타깃으로 무차별 암호 대입 공격을 감행한다. 이 기술은 시스템에 대한 무단 액세스를 제공하여 랜섬웨어 배포를 용이하게 한다.

이외에도 인터넷 연결 서비스 및 애플리케이션, 특히 웹 앱의 다양한 취약점을 악용하여 네트워크에 침투한다. 이들의 공격수법은 이중 갈취 접근 방식, 자세한 몸값 메모, 정상적인 프로세스와 혼합해 공격하는 스텔스 전술을 사용하여 보안 솔루션의 탐지를 어렵게 만드는 등 은밀한 공격작업으로 유명하다.

트리고나 랜섬웨어, 평균 몸값 22만 달러
코브웨어의 2022년 4분기 랜섬웨어 보고서에 따르면 트리고나 랜섬웨어 공격의 평균 몸값은 2022년 3분기 15만 달러에서 2022년 4분기 22만 달러로 증가했다.

트리고나 랜섬웨어 사건에 연루된 회사는 피해자의 규모에 따라 차등된 몸값을 요구받았는데, 최소 5만 달러에서 10만 달러 이상이다. 공개적으로 보고된 몸값 지불 액수는 엔지니어링 회사가 15만 달러, 제조 회사 75만 달러, 의료 회사 200만 달러로 알려져 있다.

FBI는 총 랜섬웨어 비용(다운타임, 복구, 수익 손실 등)을 실제 몸값의 3~4배로 추정했다. 이는 트리고나 피해자당 총 손실액이 150만 달러에서 수백만 달러에 이를 수 있음을 시사한다.

스톤플라이는 트리고나 랜섬웨어 공격에 대해 “상당한 재정적 비용과 몸값 지불을 초래하고 있다. 이는 시간이 지남에 따라 평균 지불액이 증가하고 있다”며 “트리고나 랜섬웨어에 감염되면 조직의 시스템이 운영 중단 및 다운될 수 있으며, 민감한 개인정보는 물론 회사 중요 정보를 유출할 수 있다. 기업의 잠재적으로 법적 책임과 평판 손상으로 이어질 수 있는 만큼 침해 예방 및 대응이 중요하다”고 강조했다.

트리고나 랜섬웨어, 피해 예방 및 대응방법
스톤플라이는 트리고나 랜섬웨어로부터 피해를 예방하고 대응하기 위해 △MFA △정기 소프트웨어 패치 △이메일 보안 △액세스 제어 △네트워크 세그멘테이션, △정기 백업 △에어 갭 백업 및 강력한 엔드포인트 보호를 제시했다.

스톤플라이는 “사용자 계정에 대해 MFA 등을 통해 인증을 강화하고, 랜섬웨어로부터 데이터보호를 위해 에어 갭 및 변경 불가능한 백업을 해야 한다”며 “특히 볼륨을 삭제하지 못하도록 변경할 수 없는 스냅샷을 사용하여 안전한 데이터 상태로 롤백하고, 랜섬웨어 방지 스캐너를 사용하여 랜섬웨어 공격을 탐지하고 방지해야 한다”고 강조했다.

제로트러스트 측면에서는 엄격한 액세스 제어와 지속적인 모니터링 및 모니터링 강화, 네트워크 세그멘테이션으로 네트워크 내에서 랜섬웨어의 수평 이동 제한, 엔드포인트 보안 솔루션으로 실시간 위협 탐지, 안티바이러스 보호 및 행동 분석을 당부했다. 또한, 잘 정의된 인시던트 대응 계획, 대응 팀, 커뮤니케이션 전략, 데이터 복구 전략 및 법률 준수 개발을 주문했다.

스톤플라이는 “트리고나 랜섬웨어는 끊임없이 진화하는 사이버 위협 환경에서 강력한 적”이라며 “복잡한 특성과 진화하는 전술로 인해 조직은 사전 예방적으로 방어하는 것이 중요하다. 강력한 보안 조치를 구현하고, 안전한 백업 유지, 제로트러스트 보안과 같은 고급 방어 전략 채택으로 기업은 보안 위협에 대한 복원력을 강화해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>