악명 높은 사이버 범죄 그룹 GhostSec과 Stormous가 15개국 이상의 국가에 걸쳐 다양한 업계를 대상으로 한 랜섬웨어 공격을 예고하며 동맹을 맺은 것으로 밝혀졌다.
이 두 그룹이 공동 개발한 것으로 알려진 ‘STMX_GhostLocker’라는 정교한 서비스형 랜섬웨어(RaaS) 프로그램이 만들어진 것이다.
고스트섹은 고스트락커 랜섬웨어의 골랑 변종 개발과 관련이 있으며, 스토머스는 악성 캠페인에 파이썬 기반 랜섬웨어를 사용했다. 이 두 그룹의 융합으로 인해 강력한 조합이 탄생하여 악의적인 활동의 규모와 영향력이 증폭되고 있는 상황이다.
시스코 탈로스 연구원은 고스트섹과 스토머스의 협력으로 기술, 교육, 제조, 정부, 운송, 에너지, 의료, 부동산, 통신 등 다양한 분야에 걸쳐 공격 대상이 확장되었다고 경고했다.
이들 범죄 조직은 STMX_GhostLocker RaaS 프로그램의 도입으로, 유료 및 무료 서비스를 비롯하여 제휴사를 위한 다양한 옵션과 훔친 데이터를 판매하거나 게시하려는 개인을 위한 플랫폼을 제공한다. 이 프로그램은 다크웹에 전용 유출 사이트를 운영하며 이미 인도, 우즈베키스탄, 인도네시아, 폴란드, 태국, 아르헨티나 등의 국가에서 피해자가 발생했다.
고스락커 버전2라고도 알려진 고스락커 2.0의 핵심은 Go 프로그래밍 언어를 사용하여 암호화/복호화 기능을 향상시키고 랜섬웨어 프로세스를 신속하게 처리하는 것이다. 제휴사에는 운영 모니터링, 암호화 상태 추적, 결제 관리를 위한 포괄적인 웹 패널이 제공된다. 또한 맞춤형 빌더를 통해 제휴사가 원하는 대로 랜섬웨어 페이로드를 조정하여 특정 디렉터리, 프로세스 및 서비스에 대한 표적 공격을 용이하게 지원한다.
GhostSec과 Stormous가 사용하는 무기는 랜섬웨어 페이로드를 넘어서 웹사이트를 손상시키고 크로스 사이트 스크립팅(XSS) 공격을 하도록 설계된 정교한 도구까지 포함돼 있다. 특히 고스트섹 딥 스캔 툴셋은 웹사이트 스캔을 가능하게 하고, 고스트프레서는 워드프레스 사이트 침입을 용이하게 하여 공격자가 사이트 설정을 조작하고 플러그인을 설치하며 악성 페이로드를 유포할 수 있게 해주기 때문에 국내 기관과 기업들은 각별히 주의를 기울여야 한다.
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
