Raptum Ransomware

사이버 범죄 수법이 점점 더 정교해지는 시대에 디지털 기기를 악성코드로부터 보호하는 것은 매우 중요한 과제가 되었습니다. 최근의 랜섬웨어 공격은 개인과 기업 모두를 표적으로 삼아 중요한 데이터를 암호화하고 금전적 요구를 통해 몸값을 갈취합니다. 랩텀 랜섬웨어(Raptum Ransomware)는 메두사락커(MedusaLocker) 랜섬웨어 계열에 속하는 변종으로, 공격자들이 강력한 암호화, 심리적 압박, 데이터 유출 위협 등을 결합하여 몸값 지불을 유도하는 방식을 보여줍니다. 효과적인 방어 체계를 구축하기 위해서는 이러한 악성코드의 작동 방식을 이해하는 것이 필수적입니다.

Raptum 랜섬웨어의 등장

Raptum 랜섬웨어는 MedusaLocker 랜섬웨어 계열의 변종으로, 기업 네트워크와 개인 시스템을 대상으로 공격적인 이중 금전적 갈취 수법을 사용하는 것으로 악명 높습니다. 감염된 시스템에서 실행되면 이 악성코드는 파일을 암호화하고 '.raptum46'과 같은 특수한 확장자를 해당 파일에 추가합니다. 숫자 부분은 공격자가 사용하는 특정 빌드에 따라 달라질 수 있습니다.

예를 들어, 원래 '1.png'라는 이름의 파일은 '1.png.raptum46'으로, '2.pdf'는 '2.pdf.raptum46'으로 이름이 변경될 수 있습니다. 이러한 변경은 공격자가 제공하는 복호화 도구 없이는 해당 파일에 접근할 수 없음을 나타냅니다. 랜섬웨어는 데이터를 암호화하는 것 외에도 피해자의 바탕 화면 배경을 변경하고 'RECOVER_DATA.html'이라는 제목의 몸값 요구 메시지를 생성합니다.

암호화 과정으로 인해 피해자는 문서, 이미지, 데이터베이스 및 기타 중요한 파일을 열 수 없게 됩니다. 많은 최신 랜섬웨어와 마찬가지로 Raptum은 공격자가 보유한 키 없이는 무차별 대입 방식으로 복호화가 사실상 불가능한 강력한 암호화 방식을 사용합니다.

몸값 요구의 내막

Raptum이 보내는 몸값 요구 메시지는 피해자를 위협하고 빠른 지불을 유도하기 위해 고안되었습니다. 메시지에 따르면 파일은 RSA와 AES 암호화 알고리즘을 사용하여 암호화되었는데, 이는 랜섬웨어 공격에 흔히 사용되는 조합입니다. 피해자들은 타사 소프트웨어를 사용하여 파일을 복구하려고 시도할 경우 암호화된 데이터가 영구적으로 손상될 수 있다는 경고를 받습니다.

해당 메모는 피해자들에게 암호화된 파일의 이름을 바꾸거나 수정하지 말라고 지시합니다. 이러한 경고는 독립적인 복구 시도를 막고 공격자만이 필요한 복호화 도구를 가지고 있다는 인식을 강화하기 위한 것입니다.

Raptum이 사용하는 특히 강압적인 전술 중 하나는 데이터 유출 협박입니다. 공격자들은 민감한 정보가 도난당해 개인 서버에 저장되었다고 주장합니다. 만약 돈을 지불하지 않으면 도난당한 데이터가 공개되거나 다른 사람에게 판매될 수 있다고 협박합니다. 피해자들은 다음과 같은 이메일 주소를 통해 공격자들에게 연락하도록 안내받습니다.

recovery2@salamati.vip

recovery2@amniyat.xyz

해당 메시지에는 72시간의 시한이 명시되어 있으며, 피해자가 이 시간 내에 연락을 취하지 않으면 몸값이 인상될 것이라고 경고합니다. 이러한 시간적 압박은 랜섬웨어 공격에서 흔히 사용되는 심리적 전술입니다.

감염 후에는 어떤 일이 일어날까요?

Raptum이 성공적으로 실행되면 피해는 급속도로 확산될 수 있습니다. 이 랜섬웨어는 시스템에서 중요한 데이터를 찾아내고 다양한 파일 형식을 암호화합니다. 암호화된 파일은 올바른 복호화 키 없이는 접근할 수 없게 됩니다.

많은 경우 랜섬웨어 감염은 단일 장치에만 국한되지 않습니다. 감염된 시스템이 네트워크에 연결되어 있으면 악성코드가 다른 컴퓨터, 공유 드라이브 또는 네트워크 저장소로 확산되려고 시도할 수 있습니다. 이러한 특성 때문에 랜섬웨어는 조직 환경에서 특히 위험합니다.

복구 옵션은 제한적입니다. 백업이 존재하고 공격의 영향을 받지 않았다면 몸값을 지불하지 않고도 데이터를 복원할 수 있습니다. 그렇지 않은 경우, 피해자는 사이버 보안 연구원들이 무료 복호화 도구를 개발할 때까지 기다려야 하는데, 이는 보장된 결과가 아닙니다.

랜섬웨어를 즉시 제거하는 것이 필수적입니다. 시스템에 랜섬웨어가 활성화된 상태로 남아 있으면 추가 암호화, 재감염 시도 또는 기타 악성 활동이 발생할 수 있습니다.

일반적인 감염 및 전파 경로

Raptum을 비롯한 유사 랜섬웨어는 피해자를 유인하기 위해 사회공학적 기법과 기만적인 전달 방식을 많이 사용합니다. 공격자는 사용자가 악성 파일을 실행하도록 유도하기 위해 악성 파일을 합법적인 문서나 소프트웨어로 위장하는 경우가 많습니다.

일반적인 감염 경로는 다음과 같습니다.

• 악성 첨부 파일이나 링크가 포함된 피싱 이메일
• 가짜 기술 지원 메시지 또는 사기 웹사이트
• 불법 복제 소프트웨어, 크랙 프로그램 및 키 생성기
• 악성 광고 및 해킹된 웹사이트
• P2P(피어 투 피어) 네트워크 또는 타사 다운로드 플랫폼을 통해 공유되는 파일
• 감염된 USB 드라이브 및 이동식 저장 매체
• 오래되었거나 취약한 소프트웨어를 대상으로 하는 공격

이러한 수법은 사용자 상호작용에 크게 의존합니다. 악성 파일이 열리거나 실행되면 랜섬웨어 페이로드가 백그라운드에서 조용히 실행될 수 있습니다.

국방력 강화: 필수적인 안보 실천 방안

Raptum과 같은 랜섬웨어로부터 자신을 보호하려면 기술적 보안 조치와 사용자 인식 제고가 모두 필요합니다. 철저한 사이버 보안 습관은 감염 성공 가능성을 크게 줄여줍니다.

가장 효과적인 방어책 중 하나는 신뢰할 수 있는 백업을 유지하는 것입니다. 백업은 감염된 시스템에서 직접 접근할 수 없는 오프라인 또는 안전한 클라우드 환경에 저장해야 합니다. 랜섬웨어가 로컬 파일을 암호화하더라도, 손상되지 않은 백업이 있다면 공격자와 협상하지 않고도 복구할 수 있습니다.

정기적인 소프트웨어 업데이트와 패치 관리는 매우 중요합니다. 많은 랜섬웨어는 오래된 애플리케이션이나 운영 체제의 취약점을 악용합니다. 시스템에 시기적절한 보안 업데이트를 제공하면 이러한 침입 경로를 차단할 수 있습니다.

또 다른 핵심적인 보호 계층은 의심스러운 행위를 감지하고 악성 다운로드를 차단하며 무단 암호화 활동을 방지할 수 있는 신뢰할 수 있는 보안 소프트웨어입니다. 고급 엔드포인트 보호 솔루션은 공격이 완료되기 전에 랜섬웨어 패턴을 식별할 수 있습니다.

사용자들은 디지털 콘텐츠를 이용할 때에도 신중을 기해야 합니다. 의심스러운 이메일 첨부 파일, 알 수 없는 링크, 비공식 출처에서 다운로드한 소프트웨어는 높은 위험을 초래합니다. 기업들은 일반적으로 직원들에게 사이버 보안 인식 교육을 실시하여 이러한 위협을 완화합니다.

추가적인 모범 사례는 다음과 같습니다.

• 운영 체제와 애플리케이션을 항상 최신 상태로 유지합니다.
• 강력하고 고유한 비밀번호를 사용하고 다단계 인증을 활성화하세요.
• 시스템에 대한 관리자 권한 제한
• 악성코드 및 취약점을 정기적으로 시스템에서 검사합니다.
• 신뢰할 수 없는 출처에서 받은 문서의 매크로 사용 중지

이러한 전략들을 결합하면 다층적인 방어 체계가 구축되어 랜섬웨어 위험을 크게 줄일 수 있습니다.

최종 평가

Raptum 랜섬웨어는 현대 사이버 범죄 집단이 사용하는 진화하는 전술을 보여줍니다. 공격자들은 강력한 암호화, 데이터 유출 위협, 그리고 엄격한 지불 기한을 통해 피해자들에게 빠른 지불을 압박합니다. 공격자가 제공한 암호 해독 키 없이는 복호화가 거의 불가능하기 때문에, 예방이 가장 확실한 방어책입니다.

강력한 보안 관행, 온라인 콘텐츠에 대한 신중한 관리, 그리고 일관된 백업 전략은 랜섬웨어 공격으로부터 최상의 보호를 제공합니다. 사이버 위협이 계속 진화함에 따라, 선제적인 사이버 보안 조치를 유지하는 것은 개인 및 조직 데이터를 모두 보호하는 데 필수적입니다.