3P by kunggom 2020-06-27 | favorite | 댓글 1개

악명높은 사이버 범죄집단 메이즈(Maze)가 이번에는 LG전자를 털었습니다. 그들은 LG전자 서버에서 약 40GB 분량의 정보를 탈취하고 랜섬웨어에 감염시켰다고 주장하며, 그 증거로 일부 파이썬 파일과 AT&T향 LG G8X(LG V50S ThinQ의 해외용 4G LTE판)의 펌웨어로 추정되는 파일들의 목록이 나와 있는 윈도우 탐색기 등의 캡쳐를 다크웹에서 공개했습니다. LG전자는 이에 대해 아직 공식 입장을 내놓지 않고 있으며, 정확한 피해 규모도 확인되지 않고 있습니다. 어쩌면 LG전자가 물밑에서 그들과 접촉하여 해당 데이터의 공개를 막기 위한 협상을 진행하고 있을 가능성도 있습니다. 이는 그들의 악랄한 수법 때문입니다.

메이즈는 작년(2019년) 5월경 처음 발견된 랜섬웨어이자 이걸 사용하는 사이버 범죄조직의 이름입니다. 이들의 특징은 랜섬웨어로 데이터를 암호화하기 전에 먼저 파일들을 미리 빼돌려둔 다음, 피해 조직이 돈을 내라는 협박에 응하지 않으면 이 데이터 및 서버의 IP 주소 등 다른 해커들의 공격을 유도할 수 있는 기술적 정보를 공개하는 방법으로 피해를 극대화시킨다는 것입니다. 심지어는 피해 조직을 압박하기 위해서 피해 조직의 고객을 협박하는 경우도 있습니다. 예를 들어 병원을 털었는데 병원이 돈을 내지 않으면 각 환자에게 이메일로 의료기록을 공개하겠다고 협박하는 식으로, 설령 백업이 온전하다 해도 결국 돈을 낼 수 밖에 없게끔 하는 강도짓을 벌이는 것이죠. 이 짓을 처음 시작한 것이 바로 메이즈이며, 점차 다른 랜섬웨어 범죄자들도 이 전략을 따라하기 시작했습니다. 작년 말 미국 연방수사국(FBI)은 자국 기업을 대상으로 이들에 대해 경고를 발령하기도 했지요. ( https://m.etnews.com/20200105000060 )

메이즈는 피해 조직들에게 가격 협상이 얼마든지 가능하며, 돈을 낼 경우 추가 랜섬웨어 피해를 방지하기 위한 종합 보안 보고서까지 제공하겠다고 주장하고 있습니다. 그러나 이런 범죄자들의 말은 쉽게 믿을 것이 못 됩니다. 지난 3월 18일에 보안업체 엠시소프트(Emsisoft)가 블로그를 통해 랜섬웨어 그룹들에게 “적어도 이 시국에 의료기관에 대한 공격은 중단해야 하지 않겠느냐”고 공개적으로 호소하자( https://blog.emsisoft.com/en/35921 ) 메이즈는 “코로나19 사태가 진정될 때까지 의료기관에 대한 공격을 중단하겠다”고 선언하였지만, 사실 그 발표를 하던 시간에도 그들은 영국의 한 의료시설에 협박을 하고 있었다 합니다. 실은 올해 1분기 랜섬웨어 업계에서 가장 핫한 키워드가 바로 “코로나”였습니다. 이런 범죄자들에게는 세계적으로 사람이 잔뜩 죽어나가고 사회적 혼란과 공포가 가중되는 요즘 시국조차도 그저 좋은 돈벌이 시기일 뿐이죠.

p.s.
참고로 이들은 한국어 메시지를 넣은 랜섬웨어를 국내에 퍼트릴 때 “Kim Jong Un is my God”이라는 문자열을 넣었놨었습니다. ( https://blog.alyac.co.kr/2461 ) 어그로 끄는 걸까요? 어차피 랜섬웨어 범죄자가 신분이 노출되어 걸리면 토막을 치겠다고 벼르는 사람이나 조직이 세계적으로 한둘이 아닐 텐데…