[디지털비즈온 이호선 기자] 2021년 말에 새로 등장한 랜섬웨어 그룹인 비안리안(BianLian)이 활동을 시작했다고 미국 사이버 보안 회사인 '리댁티드(Redacted)' 와 해커뉴스(The Hacker News)가 9월 1일 발표했다.

구글에서 만든 오픈 소스 프로그래밍 언어인 ‘Go’로 작성된 비안리안은 2022년 7월 중순에 처음 발견되었으며 9월 1일 현재 15개의 피해자가 발생했다.

싸이벨(Cyble)에 따르면 지금까지 이 업계에서 25%의 희생자가 발생했으며 전문 서비스, 제조, 의료, 에너지 및 유틸리티, 교육 부문에서 각각 12.5%가 피해를 입었고 미디어, 은행, 보험사 등 여러 산업 분야에 걸쳐 있는 북미, 영국 및 호주기업이 대상이 되었다.

비안리안 공격자는 일반적으로 비정상적으로 높은 몸값을 요구하며 바이러스 백신 제품의 탐지를 피하기 위해 파일 콘텐츠를 10바이트 단위로 나누는 고유한 암호화 스타일을 사용했다. 싸이벨 연구원들은 게시물에 "먼저 원본 파일에서 10바이트를 읽은 다음 바이트를 암호화하고 암호화된 데이터를 대상 파일에 쓴다고 밝혔다.

비안리안 공격자는 또한 이중 갈취 방법을 사용하여 10일 이내에 몸값 요구가 충족되지 않으면 금융, 클라이언트, 비즈니스, 기술 및 개인 파일과 같은 주요 도난 데이터를 온라인으로 유출하겠다고 위협했다.

◇비안리안 해킹수법

비안리안은 대상 시스템을 감염시키면 파일을 암호화하고 피해자에게 운영자에게 연락하는 방법을 알려주는 랜섬웨어 메모를 전송한다는 점에서 다른 랜섬웨어 유형과 유사하게 작동한다.

비안리안 공격자는 자신들이 준비한 공격 도구를 피해자의 시스템과 네트워크에 침투시키는 것이 아니라 피해자 시스템 내부에 이미 있는 여러 유틸리티나 도구들을 공격에 악용하는 것이다. 특히 net.exe를 사용해 권한을 추가하거나 조작하고, netsh.exe를 통해 호스트 방화벽 정책을 설정한다. reg.exe를 가지고는 레지스트리를 변경한다.

랜섬웨어가 실행되면 비안리안이 GetProcAddress API를 통해 wine_get_version() 함수를 확인하여 파일이 WINE 환경에서 실행되고 있는지 식별하려고 시도 한다. 그런 다음 랜섬웨어는 CreateThread API 함수를 사용하여 여러 스레드를 생성하여 더 빠른 파일 암호화를 수행하므로 악성코드를 리버스 엔지니어링하기가 더 어려워 지도록 한다.

그런 다음 멀웨어는 GetDriveTypeW API 기능을 사용하여 시스템 드라이브(A:\에서 Z:\까지)를 식별하고 연결된 드라이브에서 사용 가능한 모든 파일을 암호화한 다음 랜섬웨어 메모를 삭제한다.

비안리안은 Go를 기본 언어로 사용하여 위협 행위자가 악성 코드를 개발하고 배포하는 데 더 많은 유연성을 제공한다는 점에서도 주목할 만하다고 보안 관계자들은 주의했다.

Go의 크로스 플랫폼 기능을 통해 단일 코드베이스를 모든 주요 운영 체제로 컴파일 할 수 있다. 이를 통해 비안리안 뒤에 있는 공격자와 같은 위협 행위자가 탐지를 피하기 위해 악성코드에 지속적으로 변경하고 새로운 기능을 추가하기가 쉬웠다.

Cyble은 블로그 게시물에서 랜섬웨어 방어를 위한 몇 가지 모범 사례를 제시했다.

내용은 주기적인 백업과, 백업 드라이브의 오프라인 유지, 소프트웨어 업데이트, 안티 멀웨어 소프트웨어 설치 및 사용, 수상한 링크 누르지 않고 수상한 첨부 파일을 열지 않도록 하는 것이 중요하다고 조언했다.