최근 랜섬하우스(RansomHouse) 랜섬웨어 기업의 업그레이드는 기업 보안 담당자에게 새로운 우려를 안겼으며, 해당 그룹의 이중 갈취형 서비스형 랜섬웨어(RaaS) 모델에 다층 암호화 업데이트를 도입했다.

졸리 스코피우스(Jolly Scorpius) 클러스터로도 추적되는 이 랜섬웨어 기업은 단순한 단일 단계 암호화 방식에서 벗어나, 갈취 작전의 복잡성을 높이는 다층 이중 키 암호화 구조로 전환했다.

팔로알토 네트웍스(Palo Alto Networks) 위협 인텔리전스 팀이 상세히 분석한 바에 따르면, 이번 업데이트는 시스템이 침해된 이후 복구 난도를 크게 끌어올린다. 해당 변화는 공격 중 파일 처리 및 암호화 방식에 영향을 미치며, 분석을 어렵게 하고 몸값을 지불하지 않고 데이터를 복구할 수 있는 보안 담당자의 역량을 제한한다.

유닛 42(Unit 42) 연구진은 블로그 게시물에서 “랜섬하우스 서비스형 랜섬웨어에 사용된 암호화 업그레이드는 단순한 선형 모델에서 훨씬 더 복잡한 다층 방식으로 이동했음을 보여주며, 이는 랜섬웨어 발전의 우려스러운 방향을 시사한다”고 밝혔다. 연구진은 또 “위협 행위자가 효과를 높이기 위해 기법을 지속적으로 개선하고 있음을 보여준다”고 설명했다.

연구진은 랜섬하우스의 작전 규모를 “상당하다”고 평가했으며, 의료, 금융, 운송, 정부 부문에 걸쳐 최소 123개 피해자가 데이터 유출 사이트에 게시돼 있다고 밝혔다.

VM웨어 ESXi 최적화 암호화 업그레이드

연구진은 랜섬하우스가 선형 암호화 모델에서 벗어나 다단계 이중 키 프로세스로 이동하고 있으며, 이러한 변화가 복호화나 키 복구를 실질적으로 더 어렵게 만든다고 확인했다. 연구진은 새롭게 도입된 다층 프로세스의 랜섬웨어 구성 요소를 ‘마리오(Mario)’라는 이름으로 추적했다.

유닛 42가 마리오를 역공학 분석한 결과, 업그레이드된 바이너리는 32바이트 기본 키와 8바이트 보조 키를 모두 생성하며, 서로 맞물리는 별도의 암호화 패스를 실행하는 것으로 관찰됐다.

가상 인프라를 운영하는 기업, 특히 VM웨어 ESXi 호스트를 사용하는 환경에서는 이번 변화가 더 큰 영향의 침해로 이어질 가능성을 의미한다. 랜섬하우스 도구는 ESXi 파일과 백업을 직접 겨냥해 ‘e.mario’ 확장자로 암호화하고, 결제를 요구하는 랜섬 노트를 함께 남긴다.

연구진은 랜섬하우스의 배포 및 지속성 유틸리티인 MrAgent와 결합될 경우, 해당 서비스형 랜섬웨어 프레임워크가 운영 연속성과 복구 노력을 모두 저해한다고 지적했다.

랜섬하우스의 이중 갈취 전략

암호화 업데이트 외에도 랜섬하우스는 데이터를 암호화하는 동시에 외부로 유출하고 공개를 위협하는 이중 갈취 모델을 활용해 피해자에게 추가 압박을 가한다.

이미 현대 랜섬웨어 공격에서 보편화된 이러한 다층 압박 전술은 기업 보안팀의 사고 대응 일정과 협상 전략에 추가적인 부담을 준다.

유닛 42의 공개 내용에 따르면, 랜섬하우스는 운영자(도구 개발자와 유출 관리 담당)와 공격자·가맹자(침투 후 랜섬웨어를 배포하는 주체)를 분리한 모듈형 공격 체인을 운영한다. 이러한 구조는 개별 가맹자가 교체되거나 브랜드를 변경하더라도 서비스형 랜섬웨어가 확장성과 적응력을 유지할 수 있게 한다.

유닛 42의 분석에 따르면, 정적 시그니처에만 의존하는 탐지 전략은 동적 분할 암호화와 다단계 실행을 사용하는 랜섬하우스와 같은 위협에 점점 더 대응력이 떨어지고 있다. 행위 기반 분석, 실시간 모니터링, 강화된 네트워크 분리, 정기적인 백업 검증에 대한 투자는 여전히 필수다. 유닛 42는 업데이트된 랜섬하우스 도구와 연계된 침해 지표(파일 해시, 파일 확장자, 랜섬 노트 아티팩트)를 공개하며, 기업이 영향을 받은 엔드포인트와 가상화 환경 전반에서 관련 활동을 선제적으로 탐지할 것을 권고했다.

dl-itworldkorea@foundryco.com