랜섬 요구의 귀환: 금융과 리테일 기업을 노리는 공격자들의 새로운 DDoS 공격 위협

아래에서 언급한 바와 같이 Akamai SIRT는 금융, 여행, 이커머스와 같은 다양한 업계에 랜섬(몸값)을 요구하는 편지를 보내는 이른바 Armada Collective 및 Fancy Bear의 공격을 추적하고 있습니다. 

이전 주의보에 포함된 정보 외에도, ARMS, DNS Flood, GRE Protocol Flood, SNMP Flood, SYN Flood, WSDiscovery Flood 공격을 주요 기법으로 활용하는 공격의 피크 트래픽이 거의 200Gb/sec에 근접한 것을 확인했습니다. 이런 공격이 특정 지역을 표적으로 삼은 것 같지는 않습니다. 영국, 미국, 아시아 태평양 지역의 여러 기관들이 랜섬 요구 편지를 받았습니다. 

현재까지 랜섬을 요구하는 데드라인이 지난 후에 위협했던 대로 후속 공격이 시작된 경우는 없었던 것으로 파악됩니다. 따라서 공격을 받은 기업이 랜섬을 지불하는지 여부에 상관 없이 결과는 동일하다는 것을 알 수 있습니다. Akamai는 랜섬을 요구받은 기업에게 랜섬을 지불하지 않는 것을 권장합니다. 

랜섬 공격을 일으키는 사람들은 최대한 적은 노력을 들여 빠르게 돈을 벌 수 있는 기회를 찾고 있는 것으로 보입니다.

Akamai 보안 인텔리전스 연구팀(SIRT)은 지난 1주일 동안 여러 분야의 기업을 표적으로 한 최근 DDoS 공격을 조사하고 있습니다. 갈취 요구는 과거 DDoS 랜섬 그룹의 요구와 유사합니다.

먼저 비트코인으로 랜섬을 지불하지 않으면 DDoS 공격을 곧 시작하겠다는 협박 이메일이 오면서 연락이 시작되었습니다. 협박 내용은 지난 캠페인 기간에 언론에 공개된 내용과 매우 유사하며, Akamai가 2019년 11월에 발표한 마지막 DDoS 갈취 캠페인과도 비슷합니다.

만약 랜섬을 요구하는 협박 내용을 언론에 공개하면 공격을 즉각 시작할 것이라고 경고하는 경우도 있었습니다.

Akamai가 Armada Collective의 갈취 요구를 확인한 결과, 랜섬은 5BTC에서 시작해 데드라인을 넘기면 10BTC로 높아지고 그 후로는 매일 5BTC씩 늘어납니다. 반면에 Fancy Bear는 20BTC에서 시작해 데드라인을 넘기면 30BTC로 높아지고 그 후로는 매일 10BTC씩 늘어납니다.

이런 랜섬 요구는 일반적으로 정해진 금액을 따르지만 금전적인 부분은 공격자의 기분에 따라 달라질 수 있습니다.

이 편지는 공격받는 기업의 자산을 확인했고 사태의 심각성을 증명하기 위해 소규모 '테스트' 공격을 하겠다고 예고합니다. 공격자들이 편지에서 최대 2Tbps의 DDoS 공격을 일으킬 수 있다고 주장하는 경우도 있습니다. 

Akamai 네트워크에서 한 고객을 대상으로 50Gb/sec의 공격이 발생한 사례도 있습니다. 공격 트래픽은 UDP 기반의 ARMS 프로토콜 반사 공격으로 구성되었고 사용된 반사기의 수는 현재까지 알려지지 않았습니다.

Akamai SIRT는 이러한 갈취 요구가 빨리 돈을 받아 내고 협박하기 위해 잘 알려진 공격 그룹의 평판을 이용한 카피캣으로부터 발생한 것으로 추측합니다.

랜섬을 지불한다고 해서 공격이 끝난다는 보장은 없습니다. 따라서 Akamai는 기업이 협박 편지를 받더라도 랜섬을 지불하지 않을 것을 권장합니다. 또한 랜섬을 지불하면 결국 공격 그룹의 범행에 자금을 지원하게 됩니다.