카스퍼스키(지사장 이효은)는 8일, 카스퍼스키 위협 리서치팀이 올해 초에 러시아어권 랜섬웨어 그룹 ‘올드그렘린(OldGremlin)’의 새로운 공격을 식별했다고 밝혔다. 이는 제조, 헬스케어, 리테일, 기술 기업을 공격 대상으로 삼았던 해당 그룹의 활동 재개를 알리는 신호로, 과거에는 단일 피해자에게 최대 1,700만 달러에 달하는 몸값을 요구한 전례가 있다.

이번 공격 행위는 그룹의 과거 전술과 일치하며, 처음으로 공격자가 스스로 ‘OldGremlin’이라는 명칭을 몸값 요구 문서와 파일 경로에 직접 사용했다. 해당 툴킷은 핵심 윈도우 보안 기능을 비활성화하여 그룹의 자체 드라이버를 실행하고, 명령 수행에는 노드.js(Node.js)를 활용한다.

카스퍼스키 연구진은 올드그렘린 툴킷이 크게 원격 접근 백도어, 패처, 마스터, 클로즈더도어 등의 네 가지 주요 구성요소로 이루어져 있음을 확인했다. n공격자가 감염된 컴퓨터를 원격으로 제어가 가능한 ‘원격 접근 백도어’, n합법적인 윈도우 드라이버의 취약점을 악용해 서명되지 않은 드라이버 차단 기능을 끄고, 그룹의 악성 드라이버를 로드해 보안 툴을 무력화하는 ‘패처(Patcher)’, n파일 암호화 프로그램으로, 독립 실행 파일 또는 노드.js 애드온(Node.js add-ons) 형태로 작동. 로컬호스트(localhost:8010)에서 질의 시 현재 암호화 진행 상태를 보고하는 ‘마스터’ n암호화 과정 중 네트워크에서 디바이스를 격리, 몸값 요구 문서를 배포하고 흔적을 삭제하는 ‘클로즈더도어(Closethedoor)’ 등이그 것이다. 

카스퍼스키의 야니스 진첸코 위협 리서치 전문가는 “올드그렘린 그룹은 백도어, EPP/EDR 무력화 도구, 암호화 트로이목마를 포함한 툴셋을 발전시켜 왔다. 또한 합법적인 툴과 취약한 드라이버까지 공격에 활용하고 있다. 이러한 위협과 고도화된 공격에 대응하기 위해, 기업의 보안 요구에 맞춰 확장 가능한 카스퍼스키 넥스트(Kaspersky Next) 제품군을 도입하는 것을 권장한다. 이는 실시간 보호와 함께 EDR 및 XDR 기능을 제공해 조직이 보안을 한층 강화할 수 있도록 지원한다”라고 밝혔다.

카스퍼스키 이효은 한국지사장은 “한국의 빠른 기술 산업 발전은 사이버 공격의 주요 표적이 되고 있으며, 올드그렘린과 같은 그룹은 합법적 툴과 악성 드라이버를 혼합해 공격 체인을 지속적으로 고도화하고 있다. 이에 기업들은 역동적인 방어 체계를 반드시 구축해야 한다. Kaspersky Next 제품군은 이러한 목적을 위해 설계된 확장 가능한 솔루션으로, 복잡한 사이버 환경에서 선제적 방어와 신속한 대응을 가능하게 지원 한다”라고 말했다.

카스퍼스키는 2025년 사건을 올드그렘린과 연결지을 수 있는 단서로, 일관된 전술과 이전 캠페인에서 재사용된 암호화 공개키(Cryptographic Public Key)를 확인했다. 올해 표적이 된 분야는 제조, 기술, 리테일, 헬스케어 조직으로, 해당 그룹은 과거 평균 약 49일 동안 내부에 잠복한 뒤 파일을 암호화하는 전략을 사용했으며, 2022년에는 1,690만 달러에 달하는 몸값을 요구한 사례도 있었다. 또한, 카스퍼스키는 이들의 명령 및 제어(Command-and-Control, C2) 서버가 퍼블릭 인터넷에서 접근 가능한 점도 관찰했다.

카스퍼스키 제품은 이 랜섬웨어를 Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og 및 HEUR:Trojan-Ransom.Win64.Generic으로 탐지했다.

카스퍼스키는 기업이 랜섬웨어로부터 보호하기 위한 권장 사항을 제시했다.

-모든 규모와 업종의 기업을 위해 실시간 보호, 위협 가시성, EDR 및 XDR의 조사 및 대응 기능을 제공하는 Kaspersky Next을 사용해야 한다.

-사용하는 모든 장치의 소프트웨어를 항상 최신 상태로 유지하여 공격자가 취약점을 악용하고 네트워크에 침투하는 것을 방지해야 한다.

-방어 전략을 측면 이동 및 인터넷으로의 데이터 유출 탐지에 집중해야 한다. 특히 외부로 나가는 트래픽에 주의를 기울여 사이버 범죄자의 네트워크 연결을 탐지해야 한다.

-침입자가 조작할 수 없는 오프라인 백업을 설정해야 한다. 필요하거나 긴급 상황 시 신속하게 접근할 수 있도록 해야 한다.

-최신 위협 인텔리전스(Threat Intelligence) 정보를 활용하여 위협 행위자들이 실제로 사용하는 전술, 기법 및 절차(TTPs)를 파악해야 한다.