주요 소프트웨어 서비스 제공업체인 CDK 글로벌이 랜섬웨어 공격으로 인한 대규모 IT 서비스 마비 사태를 겪었다. 블랙수트 랜섬웨어 갱단이 이번 공격의 주범으로 밝혀졌으며, 이로 인해 북미 전역의 자동차 딜러십들이 큰 혼란을 겪고 있다.
센티넬원에 따르면, 블랙수트는 2023년 초에 등장한 비교적 새로운 랜섬웨어 운영 그룹이다. 이 그룹은 로열 랜섬웨어의 리브랜딩된 버전으로 여겨지며, 로열 랜섬웨어는 악명 높은 콘티 조직의 후계자로 알려져 있다. 블랙수트 갱단은 데이터 암호화와 정보 유출 협박을 포함한 다각적인 갈취 전략을 사용하며, 이들의 전술과 도구는 로열 랜섬웨어와 상당한 유사성을 보인다.
블랙수트의 전술은 명령 줄 매개변수와 간헐적 암호화 기술 등 여러 면에서 로열 랜섬웨어와 유사하다. 블랙수트는 헬스케어, 교육, IT, 정부, 소매 및 제조업 등 다양한 부문을 대상으로 공격을 감행해왔다.
CDK 글로벌에 대한 랜섬웨어 공격은 2024년 6월 22일 처음 보도되었다. 해외 매체에 따르면, CDK는 랜섬웨어의 확산을 막기 위해 IT 시스템과 데이터 센터를 차단했으며, 서비스 복구 시도 중 두 번째 사이버 보안 사고가 발생해 다시 시스템을 종료할 수밖에 없었다.
CDK 글로벌 플랫폼은 자동차 딜러 운영에 필수적인 역할을 하며, 판매, 금융, 재고 관리, 서비스 및 백오피스 작업을 지원한다. 플랫폼이 오프라인 상태가 되자, 딜러들은 수작업으로 돌아가야 했으며, 이는 운영에 큰 차질을 초래했다. 주요 자동차 딜러 회사들은 큰 영향을 받았다.
센티넬원에 따르면, 블랙수트 랜섬웨어는 윈도우와 리눅스 시스템에서 데이터를 암호화한다. 이 랜섬웨어는 오픈SSL의 AES 구현을 사용해 데이터를 암호화하며, 특정 파일 유형, 네트워크 볼륨 및 로컬 볼륨을 대상으로 하는 다양한 명령 줄 매개변수를 지원한다. 블랙수트는 브이엠웨어(VMware) 프로세스를 종료하여 가상 머신을 암호화할 수 있고, 자체 삭제 및 암호화 성능 매개변수를 지정하는 옵션도 제공한다
블랙수트 랜섬웨어 공격은 피싱 이메일, 악성 토렌트 파일 및 메타스플로잇과 같은 서드파티 프레임워크의 취약점 악용을 통해 전달된다. 이러한 다각적인 접근 방식은 공격자들이 네트워크에 침투하여 랜섬웨어를 효과적으로 배포할 수 있게 한다고 전문가들은 분석했다.
공격에 대응해 CDK 글로벌은 복호화키를 얻고 도난된 데이터 유출을 막기 위해 블랙수트 갱단과 협상 중인 것으로 알려졌다.
CDK 글로벌은 또한 자동차 딜러들에게 CDK 에이전트나 제휴사로 위장한 공격자들이 시스템에 무단 접근하려는 사회 공학적 공격에 대해 주의하라고 경고했다.
자동차 부문은 일상 운영을 위해 통합 IT 시스템에 크게 의존하기 때문에 이러한 중단은 상당한 재정적 손실과 운영상의 어려움을 초래할 수 있다. 정기적인 업데이트, 피싱 공격에 대한 직원 교육 및 종합적인 사고 대응 계획 등 강력한 사이버 보안 조치가 필요하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★