복구 할 수 없게 설계한 '다이어 울프' 랜섬웨어 주의!
- 특정 디렉터리 타깃, 중복 실행 판별, 암호화 처리 식별, 성능 저하 시켜
- 현재까지 미국, 태국, 대만 등 16개국 16개 조직 피해
다이어 울프(DireWolf) 랜섬웨어 공격이 포착돼 이용자들의 주의가 요구된다.
이 그룹은 2025년 5월 처음 모습을 드러냈다. 같은 달 26일 다크넷 유출 사이트에 첫 피해 6곳을 공개하며 본격적인 활동을 시작했다.
이 그룹은 피해자와는 Tox 메신저를 통해 접촉한다. 공격 대상은 아시아, 호주, 이탈리아 등지의 제조업, IT, 건설, 금융 등 다양한 산업군으로, 데이터 암호화와 유출 협박을 병행하는 이중 갈취(double extortion) 방식을 사용한다. 현재까지 16개국 16개 조직이 피해를 입었으며, 피해국에는 미국, 태국, 대만 등도 포함된다.
다이어 울프 랜섬웨어는 특정 디렉터리만 대상으로 삼을 수 있다. 중복 실행 여부를 판별하고, 암호화 완료 표식 파일 여부를 확해 이미 처리된 시스템인지 추가로 식별한다. 또한 시스템에 따라 성능 저하 및 서비스 지연을 야기할 수 있다.
랜섬웨어는 파일 암호화 성공률을 극대화하기 위해 다양한 복구 방해 기법을 적용한다. 우선, 자가 삭제를 통해 분석 흔적을 줄이는 동시에, 이벤트 로그 및 백업 관련 데이터를 제거하여 사고 분석과 시스템 복구를 어렵게 한다.
실행 중인 윈도우 이벤트 로그 서비스(eventlog)는 프로세스 ID를 확인 후 명령어(taskkill)로 강제 종료한다.
이러한 과정은 단발성이 아니라 ① 이벤트 로그 프로세스 ID 확인 → ② 강제 종료 → ③ 일정 시간 대기 후 동일 절차 반복 형태로 수행된다. 즉, eventlog 서비스가 재실행되더라도 주기적으로 다시 탐색하고 종료하기 때문에 로그 수집은 지속적으로 차단된다.
명령 프롬프트를 이용해 복원 지점(Shadow Copy)을 완전히 제거하고, 예약된 백업 작업 및 메타데이터를 삭제한다.
이 랜섬웨어 그룹은 빠르게 전 세계 기업을 대상으로 활발한 공격 활동을 전개하고 있다. 특히 제조·IT·건설·금융 등 특정 산업군을 가리지 않고, 취약한 시스템이 존재하는 조직이라면 어디든 공격 대상으로 삼는 점에서 높은 위협성을 보인다.
안랩은 "키 교환과 스트림 암호화를 결합해 파일 암호화를 수행한다"며 "특히 현재 알려진 복호화 방법을 원천적으로 차단해, 피해자가 공격자와의 협상 외에는 복구 수단이 없도록 만든다"며 주의를 당부했다.
Related Materials
CheifEditor
Donghwi Shin(CEO)
CheifEditor
