전 세계 정부 기관이 공동으로 아키라 랜섬웨어의 사악한 운영 방식을 공개하며 전 세계 250개 이상의 기관을 공격한 방식을 공개했다.

미국 사이버보안 및 인프라 보안국(CISA), 연방수사국(FBI), 유로폴, 네덜란드 국가사이버보안센터(NCSC-NL)의 공동 노력으로 이 정교한 사이버 위협의 복잡한 작동 방식이 드러난 것이다.

2023년 3월에 등장한 이후 교육, 금융, 부동산 등 다양한 산업에 큰 피해를 입힌 Akira 랜섬웨어.

아키라는 피해자의 데이터를 암호화할 뿐만 아니라 데이터를 유출하여 탈취한 정보를 갈취의 수단으로 활용한다는 점에서 차별화된다.

처음에는 암호화된 파일에 .akira 확장자를 추가하는 C++ 기반 암호화기를 사용했던 이 랜섬웨어는 이후 무기를 업그레이드했다. 2023년 8월부터 아키라 공격은 암호화된 파일의 확장자를 .powerranges로 장식하는 Rust 기반 Megazord를 활용하기 시작했다. 또한, 최근 조사에서 Akira_v2가 확인되어 끈질긴 적응력을 보여주고 있다.

그렇다면 아키라는 어떻게 피해자의 시스템에 침투할까. 사이버 보안 연구원들은 다단계 인증(MFA)이 없는 VPN 서비스의 취약점을 악용하는 등 아키라 운영자들이 사용하는 다양한 전술이 드러났다. 특히, 공격자들은 알려진 시스코 취약점(CVE-2020-3259 및 CVE-2023-20269)을 활용하여 초기 액세스 권한을 획득했다. 일단 내부에 침투한 위협 공격자들은 스피어 피싱과 유효한 인증정보 도용에 이르기까지 다양한 방법을 사용하여 손상된 네트워크 내에서 해킹을 시도했다.

도메인 컨트롤러는 손상된 네트워크 내에서 지속성을 확보하기 위해 아키라 공격자들의 주요 표적이 되었다. 공격자는 새로운 도메인 계정을 생성하고 "itadm"과 같은 관리 계정을 생성하는 등의 기술을 통해 피해 조직에 장기간 접속할 수 있도록 했다.

익스플로잇 후의 기법은 아키라 공격의 정교함을 더욱 잘 보여준다. 아키라 공격자들은 Kerberoasting과 같은 공격을 활용하여 자격 증명을 추출하고 권한 상승을 위해 Mimikatz 및 LaZagne와 같은 자격 증명 스크래핑 도구를 사용함으로써 데이터 장악을 위해 모든 수단을 동원했다.

가장 우려되는 것은 랜섬웨어의 하이브리드 암호화 체계로, 데이터 암호화에 대한 다층적 접근 방식을 위해 ChaCha20 스트림 암호와 RSA 공개 키 암호화 시스템을 결합한 것이다. 파일 유형과 크기에 따라 맞춤화된 이 방법은 효율적이고 안전한 암호화를 보장하기 때문에 피해자는 복구할 수 있는 방법이 제한적이다.

설상가상, 아키라 공격자들은 동일한 공격 내에서 두 가지 다른 랜섬웨어 변종을 배포하여 피해 조직에 미치는 영향을 두 배로 늘리는 것이 관찰되었다. 위협 행위자는 탐지를 회피하기 위해 보안 소프트웨어를 비활성화하고 PowerTool과 같은 도구를 사용하여 안티바이러스 시스템의 취약점을 악용했다.

위협 행위자는 AnyDesk, Cloudflare Tunnel, RustDesk 등 다양한 도구를 통해 명령 및 제어 서버와의 통신을 촉진하여 손상된 시스템에 대한 제어권을 유지하고 악의적인 활동을 지속했다.

아키라와 같은 정교한 랜섬웨어의 출현은 사이버 위협의 진화하는 특성을 잘 보여준 사례라 할 수 있다.