신규 랜섬웨어 조직 ‘크립토24(Crypto24)’가 미국, 유럽, 아시아의 대형 조직을 표적으로 삼아 보안 솔루션을 무력화한 뒤 데이터 탈취와 파일 암호화를 수행하는 공격을 벌이고 있습니다. 이 조직의 공격 방식은 매우 정교하며, 특히 금융, 제조, 엔터테인먼트, 기술 분야의 대기업을 집중적으로 노리고 있습니다.
크립토24 랜섬웨어 조직 개요
크립토24의 최초 활동은 지난해부터 시작되었으며, 최근 대형 조직 피해가 확인되면서 위협 수준이 급상승했습니다. 보안업계에서는 이 그룹이 과거 활동을 중단한 유명 랜섬웨어 조직의 핵심 인력이 합류해 재편성됐을 가능성을 제기하고 있습니다. 이들은 정상 관리 도구와 맞춤형 악성코드를 결합해 단계별로 공격을 진행하며, 특히 야간이나 감시가 느슨한 시간대에 작전을 전개해 탐지를 피하는 것이 특징입니다.
공격 방식
크립토24의 공격자는 침투 후 비활성화된 기본 관리자 계정을 다시 활성화하거나 새로운 로컬 계정을 생성해 은밀하게 권한을 확보합니다. 이후 배치 스크립트와 명령어를 사용해 시스템 하드웨어, 디스크 구성, 계정 및 그룹 정보를 수집합니다. 이 과정에서 특정 관리 도구를 악용하여 원격 데스크톱 허용 설정을 변경하고, 방화벽 예외를 추가하며, 원격 접속 프로그램을 설치하는 등의 방법으로 내부 확장을 꾀합니다.
방어 우회 기술
크립토24는 방어 우회 과정에서 오픈소스 도구를 변형하여 보안 에이전트 드라이버의 메타데이터에서 제조사 이름을 추출하고, 미리 정의한 목록과 일치하면 커널 콜백과 후킹을 비활성화해 탐지 기능을 무력화합니다. 주요 타겟으로는 카스퍼스키, 소포스, 센티넬원, 말웨어바이츠, 비트디펜더, 브로드컴(시만텍), 시스코, 포티넷, 트렌드마이크로 등의 EDR 솔루션이 포함됩니다. 특히 트렌드마이크로 제품의 경우, 공격자가 관리자 권한을 확보하면 그룹정책 유틸리티를 통해 보안솔루션 에이전트를 완전히 제거하기도 한 것으로 드러났습니다.
피해 사례 및 분석
최근 크립토24의 공격으로 인해 여러 대기업이 피해를 입었으며, 이로 인해 보안업계는 이들의 공격 방식에 대한 분석을 강화하고 있습니다. 피해 기업들은 데이터 유출과 시스템 마비 등의 심각한 결과를 초래했으며, 이러한 공격이 점점 더 정교해지고 있다는 점에서 경각심을 가져야 합니다.
대응 방안
기업들이 크립토24와 같은 랜섬웨어 공격에 대비하기 위해서는 몇 가지 보안 대책을 마련해야 합니다. 첫째, 정기적인 보안 점검과 시스템 업데이트를 통해 취약점을 최소화해야 합니다. 둘째, 사용자 교육을 통해 피싱 공격에 대한 경각심을 높이고, 의심스러운 링크나 첨부파일을 클릭하지 않도록 해야 합니다. 셋째, 데이터 백업을 정기적으로 수행하여 랜섬웨어 공격 시 피해를 최소화할 수 있도록 해야 합니다.
크립토24의 공격은 단순한 랜섬웨어 공격을 넘어, 기업의 신뢰성과 안전성을 위협하는 심각한 문제로 자리잡고 있습니다. 따라서 기업들은 이러한 위협에 대한 인식을 높이고, 적극적인 대응 방안을 마련해야 할 것입니다.
'IT' 카테고리의 다른 글
| 영국 콜트 텔레콤, 워락 랜섬웨어 공격으로 서비스 중단…1백만 건 문서 유출 (2) | 2025.08.17 |
|---|---|
| 마이크로소프트 엔트라 ID와 파이도 패스키 : 보안의 새로운 지평 (3) | 2025.08.17 |
| 랜섬웨어 감염 증가로 인한 각별한 주의 필요…데이터 백업 8대 수칙 (2) | 2025.08.16 |
| 기업 랜섬웨어 공격 증가… KISA의 대응 방안 (1) | 2025.08.15 |
| 미 대법 ‘청소년 SNS 규제법’ 허용 판결···“표현의 자유, 인권 침해 우려도” (2) | 2025.08.15 |
