[디지털데일리 김보민기자] 러시아권 랜섬웨어 조직 '올드그렘린(OldGremlin)'이 활동을 재개했다는 분석이 나왔다.

글로벌 사이버보안 기업 카스퍼스키는 자사 위협 조사팀이 올드그렘린의 새 공격을 식별했다고 8일 밝혔다. 올드그렘린은 제조·기술·헬스케어·리테일 기업을 공격하는 조직으로, 과거 단일 피해자에게 최대 1700만달러(현 기준 236억원)에 달하는 몸값을 요구한 전례가 있다.

이번에 포착된 공격은 올드그렘린의 과거 전술과 일치하다는 특징이 있다. 공격자가 스스로 올드그렘린이라는 명칭을 몸값 요구 문서와 파일 경로에 직접 사용했고, 해당 툴킷은 핵심 윈도 보안 기능을 비활성화해 그룹의 자체 드라이버를 실행하고 명령 수행에는 노드.js(Node.js)를 활용한 것으로 나타났다.

카스퍼스키 연구진은 올드그렘린 툴킷이 원격 접근 백도어, 마스터, 클로즈더도어 등 구성요소로 이뤄졌다는 점을 확인했다. 야니스 진첸코 카스퍼스키 위협 리서치 전문가는 "올드그렘린 그룹은 백도어, 암호화 트로이목마를 포함한 툴셋을 발전시켜 왔다"며 "또한 합법적인 툴과 취약한 드라이버까지 공격에 활용하고 있다"고 말했다.

이효은 카스퍼스키 한국지사장은 "한국의 빠른 기술 산업 발전은 사이버 공격의 주요 표적이 되고 있고, 올드그렘린과 같은 그룹은 합법적 툴과 악성 드라이버를 혼합해 공격 체인을 지속적으로 고도화하고 있다"고 경고했다.

한편 카스퍼스키는 기업을 위한 실시간 보호, 위협 가시성, 엔드포인트탐지및대응(EDR)·확장탐지및대응(XDR) 기능을 제공하는 '카스퍼스키 넥스트(Kaspersky Next)'를 제공하고 있다. 카스퍼스키는 올드그렘린과 같은 악성 행위에 대응하기 위해 사용하는 모든 장치의 소프트웨어를 최신 상태로 유지하고, 오프라인 백업을 설정해야 한다고 제언했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -