레빌(Revil)은 서비스로서의 랜섬웨어(Ramsomware as a Service, RaaS) 공격으로, 영화 레지던트 이블(Resident Evil)을 모티브로 한 랜섬웨어 이블(Ransomware Evil)을 의미한다. 여러 보안업체의 최근 보고서에 따르면, 레빌은 가장 널리 퍼진 랜섬웨어이며, 탈취 데이터를 공개하겠다고 협박하는 이중 갈취를 유행으로 만든 원인이다.
소디노키비(Sodinokibi)라고도 알려진 레빌은 지난 2019년 4월 처음 출현했다. 갠드크랩(GrandCrab)이라는 RaaS 공격 집단이 활동을 중단한 후 유명세를 타기 시작했다. 출현 당시에는 레빌이 갠드크랩의 변종이거나 최소한 여러 연관성이 있다는 주장이 있었다. 레빌 구성원으로 추정되는 언노운(Unknown)이라는 인물은 최근 인터뷰에서 레빌이 새로운 창작물이 아니고, 오래된 코드베이스를 기반으로 개 발했다고 밝힌 바 있다.
2021년 7월, 레빌 협력자는 소프트웨어 제공업체 카세야(Kaseya)가 개발한 시스템 관리 및 모니터링 도구의 제로데이 취약점을 악용해 전 세계 30개 이상의 MSP(Managed Service Provider)와 카세야가 관리하는 기업 네트워크 1,000개 이상을 손상시켰다.
이 공격은 언론의 지대한 관심을 끌었고, 조 바이든 미국 대통령과 블라디미르 푸틴 러시아 대통령 사이의 랜섬웨어 논의를 촉발시켰다. 회담 직후 레빌 웹사이트는 운 영을 중단했고, 레빌 공격 집단은 침묵했다. 이를 두고 러시아 사법당국이 조치를 취 했을 수도 있다는 추측이 나오기도 했다. 또한 카세야는 익명의 신뢰할 수 있는 서드파티로부터 모든 피해 기업의 데이터에 적용할 수 있는 마스터 암호해독 키를 받았다.
플래시포인트(Flashpoint) 사이버 범죄 분석가는 2021년 9월 레빌 웹사이트가 다시 온라인 상태가 됐으며, 이 집단의 새로운 대표가 지하 포럼에 그 동안 발생한 일을 설명하는 메시지를 게시했다고 보고했다. 해당 게시물에 따르면, 마스터 암호해독 키는 집단에 소속된 개발자 가운데 한명이 실수로 생성했으며, 일부 피해 기업용 개별 암호해독 키와 함께 번들로 제공됐다.
미국 법무부는 2021년 11월 레빌 협력자 두 명을 기소하고 관련 불법 자금 612만 달러를 압류했다. 폴란드에서 체포된 야노슬라프 바신스키는 카세야 공격에, 아직 체포되지 않은 예브게니 폴리아닌은 다른 레빌 공격에 가담한 혐의를 받고 있다. 같은 시기 유로폴에서도 레빌 협력자로 의심되는 5명을 체포했다. 유로폴에 따르면, 이번 체포는 과거 갠드크랩 수사 당시 시작된 골드더스트(GoldDust) 작전의 결과였다. 유로폴은 갠드크랩 협력자 일부가 레빌에 합류한 것으로 판단했다.
레빌을 방어하는 방법
기업은 언제나 강력한 인증서와 이중 인증으로 원격 접속을 보완해야 하고, 네트워크 접근을 VPN으로 제한하는 것을 고려해야 한다. 공공에 노출된 서버, 애플리케이션, 기기는 계속해서 업데이트해야 하고, 정기 검사를 통해 취약점, 구성 오류, 의심스러운 활동을 확인해야 한다. 허위 인증서를 사용한 과도한 로그인 시도를 차단하는 무차별 대입 공격 보호책도 가급적 마련해야 한다.
로컬 네트워크 내에서는 다음 과 같은 조치를 취해야 한다. 첫째 횡적 이동에 사용될 수 있는 불필요한 엔드포인트 간 SMB(Server Message Block) 및 RPC(Remote Procedure Call) 통신 차단한다. 둘째 특권 계정의 의심스러운 활동 모니터링 한다. 셋째 폴더 및 프로세스에 관한 엄격한 접근 제어 규칙으로 엔드포인트 공격 표면 축소 한다. 넷째 안전한 네트워크 공유한다. 다섯째 직원 대상으로 피싱 시도 파악 방법 교육한다. 여섯째 백업을 외부에 저장하고 복구가 적시에 이뤄지는 것을 시험하는 데이터 백업 프로세스 가동한다. 일곱째 공격 탐지 시 즉각적인 조치를 위해 사건 대응 계획을 명확하게 마련하고 관련 직원과 책임을 구체적으로 명시한다.
코브웨어는 랜섬웨어 공격에 취약한 업계는 랜섬웨어 위협을 덜 심각하게 받아들 이는 경향이 있다. 이런 기업은 RDP 같은 취약점을 인터넷에 열어 두고 있어 다른 산업보다 훨씬 더 자주 피해를 입는다. 규모가 작은 소규모 전문 업체라고 해서 표적이 되지 않는 것은 아니다. 사이버 공격의 세계는 그런 식으로 돌아가지 않는다. 인터넷에 쉬운 취약점을 노출하면 공격 받는다. 시간 문제일 뿐이다라고 경고했다.