AttackIQ, 사이버 보안을 위협하는 아키라 랜섬웨어(Akira Ransomware)
에뮬레이션 공격 그래프 공개
AttackIQ는 2023년 3월 등장한 아키라(Akira) 랜섬웨어의 동작을 재현하는 새로운 공격 그래프를 공개했습니다. Akira 랜섬웨어 운영자는 피해자가 파일 복호화(암호 해제) 또는 데이터 삭제 중 하나를 선택해 비용을 지불할 수 있도록 옵션을 제공합니다. 즉, 두 가지를 모두 지불하도록 강요하지 않는 방식입니다. 보고된 랜섬 요구 금액은 20만 달러(약 2억 6천만 원)에서 400만 달러(약 52억 원) 이상으로 다양합니다.
Akira는 서비스형 랜섬웨어(RaaS, Ransomware-as-a-Service) 모델로 운영되는 악성코드입니다. 즉, 여러 해커가 이 랜섬웨어를 빌려서 사용할 수 있으며, 공격에 성공하면 수익의 일부를 운영자에게 제공하는 방식입니다. Akira는 2023년 3월 처음 등장했으며, 암호화된 파일에 .akira 확장자를 추가합니다. 하지만 2017년에 활동했던 같은 이름의 랜섬웨어와는 전혀 다른 악성코드입니다.
2023년 7월 Arctic Wolf Labs의 보고서에 따르면, Akira는 Conti 랜섬웨어와 코드가 비슷한 점이 많습니다. 문자열 난독화(코드를 어렵게 만드는 기술), 파일 암호화 방식, 특정 파일 확장자를 암호화 대상에서 제외하는 방식 등이 Conti와 유사합니다. Conti의 소스 코드가 유출된 후, 여러 해커들이 이를 활용해 자신들만의 랜섬웨어를 개발하거나 변형했으며, 이로 인해 Akira의 출처를 추적하기가 더욱 어려워졌습니다.
Akira 운영자는 TOR 네트워크에서 운영되는 전용 유출 사이트(DLS, Dedicated Leak Site)를 통해 피해자를 협박합니다. 피해자는 랜섬 메시지에 포함된 고유 코드로 사이트에 접속하여 협상을 시작할 수 있습니다. 만약 피해자가 돈을 지불하지 않으면, 공격자는 이 사이트에 피해자의 이름과 탈취한 데이터를 공개합니다. Akira는 단순히 파일을 암호화하는 것뿐만 아니라 중요한 정보를 먼저 빼돌린 후 파일을 잠그는 방식을 사용합니다. 피해자는 파일 복호화(암호 해제) 비용과 데이터 삭제 비용 중 하나만 선택하여 지불할 수 있으며, 보고된 랜섬 요구 금액은 20만 달러에서 400만 달러 이상에 이릅니다.
AttackIQ는 2024년 4월 22일, CISA 권고문 AA24-109A에 대응하여 Akira 랜섬웨어를 에뮬레이션하는 공격 시뮬레이션을 처음 공개한 바 있습니다. 이후 새롭게 관찰된 Akira 랜섬웨어의 동작을 반영하여 해당 에뮬레이션을 업데이트하였습니다.
이번에 AttackIQ가 공개한 새로운 공격 그래프는 최근 Akira 랜섬웨어 활동에서 나타난 여러 전술(Tactics), 기술(Techniques), 절차(Procedures, TTPs)를 기반으로 구성되었습니다. 이를 통해 고객들이 보안 통제(Security Controls)를 점검하고, 고도화된 최신 랜섬웨어 위협에 대한 방어 능력을 검증할 수 있도록 지원하는 것이 목표입니다.
보안 프로그램이 이러한 공격 패턴에 대해 얼마나 효과적으로 대응할 수 있는지 검증하는 것은 위험을 줄이는 데 매우 중요합니다.
AttackIQ의 Security Optimization Platform에서 제공하는 이번 새로운 평가 템플릿을 활용하면 보안 팀은 다음과 같은 작업을 수행할 수 있습니다.
Akira 랜섬웨어의 주요 공격 방식에 대한 보안 통제 성능을 평가
특정 대상을 가리지 않고 공격하는 Akira 랜섬웨어와 같은 위협에 대한 조직의 보안 상태 점검
현재 랜섬웨어 공격에 집중하는 여러 해커 그룹이 사용하는 공격 방식과 유사한 시뮬레이션을 통해 탐지 및 차단 시스템을 지속적으로 검증
[악성코드 에뮬레이션] Akira 랜섬웨어 – 2024년 12월 관련 전술, 기술 및 절차 (TTPs)
이번 에뮬레이션은 Akira 랜섬웨어가 감염된 시스템에서 실행되는 일련의 동작을 재현하여, 고객이 침해 발생 여부를 탐지하고/또는 차단할 수 있도록 지원하는 것을 목표로 합니다.
이번 평가 템플릿은 2024년 12월 2일 Palo Alto Networks, 2024년 1월 13일 Hybrid Analysis, 2025년 2월 6일 Joe Sandbox에서 보고한 Akira 랜섬웨어의 동작 패턴을 기반으로 구성되었습니다.
발견 – 로컬 시스템 정찰
이 단계에서는 Akira 랜섬웨어가 실행된 후 환경을 탐색하며, 하드웨어 정보, 운영 체제(OS) 버전, 시스템의 전역 고유 식별자(GUID) 등을 수집하려고 시도합니다.
Ingress Tool Transfer (T1105): 이 시나리오는 네트워크 및 엔드포인트 보안 통제가 악성 파일 전달을 차단할 수 있는지 테스트하기 위해, 파일을 메모리에 직접 다운로드하거나 디스크에 저장하는 방식을 독립적으로 실행합니다.
System Information Discovery (T1082): 이 시나리오는 GetSystemInfo 네이티브 API 호출을 실행하여 시스템과 관련된 정보를 가져옵니다.
System Information Discovery (T1082): 이 시나리오는 RtlGetVersion 및 NetWkstaGetInfo Windows API 호출을 사용하여 시스템 정보를 수집합니다.
Query Registry (T1012): 이 시나리오는 HKLM\SOFTWARE\Microsoft\Cryptography 레지스트리 키 내의 MachineGUID 값을 조회하여, 시스템의 고유 식별자를 확인합니다.
발견 및 영향 – 아키라 랜섬웨어 파일 암호화
Inhibit System Recovery (T1490): 이 시나리오는 Get-WMIObject Win32_ShadowCopy PowerShell 명령어를 실행하여, 평가 템플릿에서 생성된 볼륨 섀도 복사본(Volume Shadow Copy)을 삭제합니다.
System Information Discovery (T1082): 이 시나리오는 GetLogicalDriveStringsW Windows API 호출을 실행하여 시스템의 물리적 드라이브 정보를 가져옵니다.
System Information Discovery (T1082): 이 시나리오는 GetDriveTypeW Windows API 호출을 실행하여 시스템의 물리적 드라이브 유형을 확인합니다.
File and Directory Discovery (T1083): 이 시나리오는 FindFirstFileW 및 FindNextFileW Windows API 호출을 실행하여 파일 시스템을 탐색하고 파일 및 디렉터리 목록을 열거합니다.
Data Encrypted for Impact (T1486): 이 시나리오는 일반적인 랜섬웨어가 사용하는 파일 암호화 루틴을 실행합니다. 특정 확장자를 가진 파일을 찾아, Akira 랜섬웨어가 사용하는 암호화 알고리즘과 유사한 방식으로 암호화합니다.
탐지 및 차단 기회
이 위협에서 사용되는 다양한 기술이 많기 때문에, 어떤 기술을 우선적으로 예방하고 탐지할지 결정하는 것이 어려울 수 있습니다. AttackIQ는 다음 시나리오에서 에뮬레이션한 기술들에 먼저 집중한 후, 나머지 기술들로 확장하는 것을 권장합니다.
1. 악성 도구 다운로드 차단 (T1105):
이 공격자는 추가적인 악성 코드 단계를 다운로드하는 데 크게 의존합니다. 엔드포인트와 네트워크 보안 통제를 모두 적용하여 악성 페이로드의 전달을 탐지하려고 해야 합니다.
1a. 탐지 방법
다음 시그니처를 사용하면, 네이티브 유틸리티가 악성 페이로드를 다운로드하는 활동을 탐지하는 데 도움이 됩니다.
PowerShell 예제:
Process Name == (Cmd.exe OR Powershell.exe)
Command Line CONTAINS ((“IWR” OR “Invoke-WebRequest") AND “DownloadData” AND “Hidden”)
1b. 차단 방법
MITRE ATT&CK에서는 다음과 같은 차단 방법을 권장합니다.
2. 시스템 복구 방해 (T1490):
공격자는 종종 볼륨 섀도 복사본(Volume Shadow Copies)을 삭제하여 파일을 원래 상태로 복구할 수 없게 만듭니다. 이는 랜섬웨어가 암호화 루틴 실행이 완료된 후 파일 복구를 방지하는 일반적인 기법입니다.
2a. 탐지 방법
볼륨 섀도 복사본 삭제는 일반적으로 발생하는 첫 번째 단계이며, 명령어 실행 활동을 살펴보면 이를 탐지할 수 있습니다.
Process Name == powershell.exe
Command Line == “Get-WmiObject Win32_ShadowCopy | ForEach-Object ($_.Delete();)”
2b. 차단 방법
MITRE ATT&CK에서는 시스템 복구 방해(Inhibit System Recovery)에 대해 다음과 같은 차단 방법을 권장합니다.
요약
요약하자면, 이 공격 그래프는 보안 및 사고 대응 프로세스를 평가하고, Akira 랜섬웨어 공격자의 동작에 대응하기 위한 보안 통제 강화에 도움을 줄 것입니다. 지속적인 테스트 및 평가 템플릿 사용을 통해 생성된 데이터를 활용하면, 보안 팀이 주요 보안 성과를 달성하고, 보안 통제를 조정하며, 알려진 위험한 위협에 대한 보안 프로그램 효과성을 높이는 데 집중할 수 있습니다.
AttackIQ는 Adversarial Exposure Validation (AEV) 솔루션을 제공하는 선두 기업으로, 전 세계의 주요 조직들이 실시간 보안 통제 검증을 위해 신뢰하고 있습니다. 실제 공격자의 동작을 에뮬레이션함으로써, AttackIQ는 취약점을 인식하는 것과 그 실제 위험을 이해하는 것 사이의 간극을 메웁니다. AttackIQ의 AEV 플랫폼은 Continuous Threat Exposure Management (CTEM) 프레임워크와 일치하며, 지속적인 보안 평가 및 개선을 위한 구조적이고 위험 기반의 접근법을 제공합니다. 또한, AttackIQ는 MSSP 파트너를 지원하는 유연한 사전 대응 파트너 프로그램을 통해 즉시 적용 가능한 솔루션을 제공하며, 클라이언트 보안을 향상시킬 수 있도록 지원합니다. AttackIQ는 자사의 무료 수상 경력에 빛나는 AttackIQ Academy와 MITRE Center for Threat-Informed Defense와의 연구 파트너십을 통해 사이버 보안 커뮤니티에 기여하는 데 열정을 가지고 있습니다.
AttackIQ BAS 서비스에 대한 자세한 내용은 아래 홈페이지를 통해 확인하실 수 있습니다.
▶ AttackIQ BAS(Breach and Attack Simulation) as-a-Service
https://www.softwidesec.com/AttackIQ
AttackIQ, 사이버 보안을 위협하는 아키라 랜섬웨어(Akira Ransomware)
에뮬레이션 공격 그래프 공개
AttackIQ는 2023년 3월 등장한 아키라(Akira) 랜섬웨어의 동작을 재현하는 새로운 공격 그래프를 공개했습니다. Akira 랜섬웨어 운영자는 피해자가 파일 복호화(암호 해제) 또는 데이터 삭제 중 하나를 선택해 비용을 지불할 수 있도록 옵션을 제공합니다. 즉, 두 가지를 모두 지불하도록 강요하지 않는 방식입니다. 보고된 랜섬 요구 금액은 20만 달러(약 2억 6천만 원)에서 400만 달러(약 52억 원) 이상으로 다양합니다.
Akira는 서비스형 랜섬웨어(RaaS, Ransomware-as-a-Service) 모델로 운영되는 악성코드입니다. 즉, 여러 해커가 이 랜섬웨어를 빌려서 사용할 수 있으며, 공격에 성공하면 수익의 일부를 운영자에게 제공하는 방식입니다. Akira는 2023년 3월 처음 등장했으며, 암호화된 파일에 .akira 확장자를 추가합니다. 하지만 2017년에 활동했던 같은 이름의 랜섬웨어와는 전혀 다른 악성코드입니다.
2023년 7월 Arctic Wolf Labs의 보고서에 따르면, Akira는 Conti 랜섬웨어와 코드가 비슷한 점이 많습니다. 문자열 난독화(코드를 어렵게 만드는 기술), 파일 암호화 방식, 특정 파일 확장자를 암호화 대상에서 제외하는 방식 등이 Conti와 유사합니다. Conti의 소스 코드가 유출된 후, 여러 해커들이 이를 활용해 자신들만의 랜섬웨어를 개발하거나 변형했으며, 이로 인해 Akira의 출처를 추적하기가 더욱 어려워졌습니다.
Akira 운영자는 TOR 네트워크에서 운영되는 전용 유출 사이트(DLS, Dedicated Leak Site)를 통해 피해자를 협박합니다. 피해자는 랜섬 메시지에 포함된 고유 코드로 사이트에 접속하여 협상을 시작할 수 있습니다. 만약 피해자가 돈을 지불하지 않으면, 공격자는 이 사이트에 피해자의 이름과 탈취한 데이터를 공개합니다. Akira는 단순히 파일을 암호화하는 것뿐만 아니라 중요한 정보를 먼저 빼돌린 후 파일을 잠그는 방식을 사용합니다. 피해자는 파일 복호화(암호 해제) 비용과 데이터 삭제 비용 중 하나만 선택하여 지불할 수 있으며, 보고된 랜섬 요구 금액은 20만 달러에서 400만 달러 이상에 이릅니다.
AttackIQ는 2024년 4월 22일, CISA 권고문 AA24-109A에 대응하여 Akira 랜섬웨어를 에뮬레이션하는 공격 시뮬레이션을 처음 공개한 바 있습니다. 이후 새롭게 관찰된 Akira 랜섬웨어의 동작을 반영하여 해당 에뮬레이션을 업데이트하였습니다.
이번에 AttackIQ가 공개한 새로운 공격 그래프는 최근 Akira 랜섬웨어 활동에서 나타난 여러 전술(Tactics), 기술(Techniques), 절차(Procedures, TTPs)를 기반으로 구성되었습니다. 이를 통해 고객들이 보안 통제(Security Controls)를 점검하고, 고도화된 최신 랜섬웨어 위협에 대한 방어 능력을 검증할 수 있도록 지원하는 것이 목표입니다.
보안 프로그램이 이러한 공격 패턴에 대해 얼마나 효과적으로 대응할 수 있는지 검증하는 것은 위험을 줄이는 데 매우 중요합니다.
AttackIQ의 Security Optimization Platform에서 제공하는 이번 새로운 평가 템플릿을 활용하면 보안 팀은 다음과 같은 작업을 수행할 수 있습니다.
Akira 랜섬웨어의 주요 공격 방식에 대한 보안 통제 성능을 평가
특정 대상을 가리지 않고 공격하는 Akira 랜섬웨어와 같은 위협에 대한 조직의 보안 상태 점검
현재 랜섬웨어 공격에 집중하는 여러 해커 그룹이 사용하는 공격 방식과 유사한 시뮬레이션을 통해 탐지 및 차단 시스템을 지속적으로 검증
[악성코드 에뮬레이션] Akira 랜섬웨어 – 2024년 12월 관련 전술, 기술 및 절차 (TTPs)
이번 에뮬레이션은 Akira 랜섬웨어가 감염된 시스템에서 실행되는 일련의 동작을 재현하여, 고객이 침해 발생 여부를 탐지하고/또는 차단할 수 있도록 지원하는 것을 목표로 합니다.
이번 평가 템플릿은 2024년 12월 2일 Palo Alto Networks, 2024년 1월 13일 Hybrid Analysis, 2025년 2월 6일 Joe Sandbox에서 보고한 Akira 랜섬웨어의 동작 패턴을 기반으로 구성되었습니다.
발견 – 로컬 시스템 정찰
이 단계에서는 Akira 랜섬웨어가 실행된 후 환경을 탐색하며, 하드웨어 정보, 운영 체제(OS) 버전, 시스템의 전역 고유 식별자(GUID) 등을 수집하려고 시도합니다.
Ingress Tool Transfer (T1105): 이 시나리오는 네트워크 및 엔드포인트 보안 통제가 악성 파일 전달을 차단할 수 있는지 테스트하기 위해, 파일을 메모리에 직접 다운로드하거나 디스크에 저장하는 방식을 독립적으로 실행합니다.
System Information Discovery (T1082): 이 시나리오는 GetSystemInfo 네이티브 API 호출을 실행하여 시스템과 관련된 정보를 가져옵니다.
System Information Discovery (T1082): 이 시나리오는 RtlGetVersion 및 NetWkstaGetInfo Windows API 호출을 사용하여 시스템 정보를 수집합니다.
Query Registry (T1012): 이 시나리오는 HKLM\SOFTWARE\Microsoft\Cryptography 레지스트리 키 내의 MachineGUID 값을 조회하여, 시스템의 고유 식별자를 확인합니다.
발견 및 영향 – 아키라 랜섬웨어 파일 암호화
Inhibit System Recovery (T1490): 이 시나리오는 Get-WMIObject Win32_ShadowCopy PowerShell 명령어를 실행하여, 평가 템플릿에서 생성된 볼륨 섀도 복사본(Volume Shadow Copy)을 삭제합니다.
System Information Discovery (T1082): 이 시나리오는 GetLogicalDriveStringsW Windows API 호출을 실행하여 시스템의 물리적 드라이브 정보를 가져옵니다.
System Information Discovery (T1082): 이 시나리오는 GetDriveTypeW Windows API 호출을 실행하여 시스템의 물리적 드라이브 유형을 확인합니다.
File and Directory Discovery (T1083): 이 시나리오는 FindFirstFileW 및 FindNextFileW Windows API 호출을 실행하여 파일 시스템을 탐색하고 파일 및 디렉터리 목록을 열거합니다.
Data Encrypted for Impact (T1486): 이 시나리오는 일반적인 랜섬웨어가 사용하는 파일 암호화 루틴을 실행합니다. 특정 확장자를 가진 파일을 찾아, Akira 랜섬웨어가 사용하는 암호화 알고리즘과 유사한 방식으로 암호화합니다.
탐지 및 차단 기회
이 위협에서 사용되는 다양한 기술이 많기 때문에, 어떤 기술을 우선적으로 예방하고 탐지할지 결정하는 것이 어려울 수 있습니다. AttackIQ는 다음 시나리오에서 에뮬레이션한 기술들에 먼저 집중한 후, 나머지 기술들로 확장하는 것을 권장합니다.
1. 악성 도구 다운로드 차단 (T1105):
이 공격자는 추가적인 악성 코드 단계를 다운로드하는 데 크게 의존합니다. 엔드포인트와 네트워크 보안 통제를 모두 적용하여 악성 페이로드의 전달을 탐지하려고 해야 합니다.
1a. 탐지 방법
다음 시그니처를 사용하면, 네이티브 유틸리티가 악성 페이로드를 다운로드하는 활동을 탐지하는 데 도움이 됩니다.
PowerShell 예제:
Process Name == (Cmd.exe OR Powershell.exe)
Command Line CONTAINS ((“IWR” OR “Invoke-WebRequest") AND “DownloadData” AND “Hidden”)
1b. 차단 방법
MITRE ATT&CK에서는 다음과 같은 차단 방법을 권장합니다.
M1031 – Network Intrusion Prevention
2. 시스템 복구 방해 (T1490):
공격자는 종종 볼륨 섀도 복사본(Volume Shadow Copies)을 삭제하여 파일을 원래 상태로 복구할 수 없게 만듭니다. 이는 랜섬웨어가 암호화 루틴 실행이 완료된 후 파일 복구를 방지하는 일반적인 기법입니다.
2a. 탐지 방법
볼륨 섀도 복사본 삭제는 일반적으로 발생하는 첫 번째 단계이며, 명령어 실행 활동을 살펴보면 이를 탐지할 수 있습니다.
Process Name == powershell.exe
Command Line == “Get-WmiObject Win32_ShadowCopy | ForEach-Object ($_.Delete();)”
2b. 차단 방법
MITRE ATT&CK에서는 시스템 복구 방해(Inhibit System Recovery)에 대해 다음과 같은 차단 방법을 권장합니다.
M1053 – Data Backup
M1028 – Operating System Configuration
M1018 – User Account Management
요약
요약하자면, 이 공격 그래프는 보안 및 사고 대응 프로세스를 평가하고, Akira 랜섬웨어 공격자의 동작에 대응하기 위한 보안 통제 강화에 도움을 줄 것입니다. 지속적인 테스트 및 평가 템플릿 사용을 통해 생성된 데이터를 활용하면, 보안 팀이 주요 보안 성과를 달성하고, 보안 통제를 조정하며, 알려진 위험한 위협에 대한 보안 프로그램 효과성을 높이는 데 집중할 수 있습니다.
AttackIQ는 Adversarial Exposure Validation (AEV) 솔루션을 제공하는 선두 기업으로, 전 세계의 주요 조직들이 실시간 보안 통제 검증을 위해 신뢰하고 있습니다. 실제 공격자의 동작을 에뮬레이션함으로써, AttackIQ는 취약점을 인식하는 것과 그 실제 위험을 이해하는 것 사이의 간극을 메웁니다. AttackIQ의 AEV 플랫폼은 Continuous Threat Exposure Management (CTEM) 프레임워크와 일치하며, 지속적인 보안 평가 및 개선을 위한 구조적이고 위험 기반의 접근법을 제공합니다. 또한, AttackIQ는 MSSP 파트너를 지원하는 유연한 사전 대응 파트너 프로그램을 통해 즉시 적용 가능한 솔루션을 제공하며, 클라이언트 보안을 향상시킬 수 있도록 지원합니다. AttackIQ는 자사의 무료 수상 경력에 빛나는 AttackIQ Academy와 MITRE Center for Threat-Informed Defense와의 연구 파트너십을 통해 사이버 보안 커뮤니티에 기여하는 데 열정을 가지고 있습니다.
AttackIQ BAS 서비스에 대한 자세한 내용은 아래 홈페이지를 통해 확인하실 수 있습니다.
▶ AttackIQ BAS(Breach and Attack Simulation) as-a-Service
https://www.softwidesec.com/AttackIQ