글로벌 사이버 단속: Microsoft, 법원 명령 확보, 2,300개의 도메인을 압수하여 약 40만 대의 Windows 장치를 노리는 Lumma Stealer 차단

Microsoft, 글로벌 법률 및 기술 노력으로 루마 스틸러 맬웨어 차단

Microsoft는 암호화폐 지갑을 포함하여 대규모로 민감한 정보를 훔쳐온 멀웨어인 Lumma Stealer를 해체하기 위해 중요한 법적 및 기술적 조치를 취했습니다.

이 회사의 디지털 범죄 부서(DCU)는 다음과 같이 밝혔습니다.5월 22일 블로그 게시물 글로벌 법 집행 기관과 협력하여 Lumma의 인프라와 연결된 약 2,300개의 도메인을 압수하거나 차단하여 운영을 심각하게 마비시켰다고 밝혔습니다.

루마 도용자에 대해 취해진 조치

Microsoft와 미국 법무부, 유로폴의 유럽 사이버 범죄 센터, 일본 사이버 범죄 제어 센터 등 파트너는 조지아 연방법원의 지원을 받아 맬웨어 개발자가 사용하는 명령 및 제어 서버를 교란하는 데 성공했습니다.

법무부는 Lumma의 중앙 명령 패널을 장악하고 사이버 범죄자들이 멀웨어를 구매한 온라인 마켓플레이스를 폐쇄했습니다.

또한 Microsoft는 정보를 수집하고 추가 감염을 방지하기 위해 1,300개 이상의 압수된 도메인을 싱크홀로 리디렉션했습니다.

테이크다운은 혼자만의 노력이 아니었습니다.

Cloudflare, Bitsight, Lumen, ESET과 같은 다른 기술 회사들도 Lumma 생태계를 해체하는 작업에 동참했습니다.

Microsoft에 따르면, 조직적인 움직임으로 인해 전 세계적으로 멀웨어와 감염된 컴퓨터 간의 통신 채널이 차단되었다고 합니다.

루마 감염은 얼마나 널리 퍼졌나요?

올해 3월 중순부터 5월 중순까지 Microsoft는 전 세계적으로 394,000대 이상의 Windows 디바이스가 Lumma Stealer에 감염된 것을 확인했습니다.

이 멀웨어는 해커들이 비밀번호, 은행 정보, 신용카드 정보, 암호화폐 지갑 자격 증명을 훔치는 데 적극적으로 사용되었습니다.

Microsoft 블로그에서는 Lumma가 배포가 쉽고 보안 방어를 우회할 수 있기 때문에 "사이버 범죄자 및 온라인 위협 행위자들이 즐겨 사용하는 도구"라고 설명했습니다.

사이버 범죄자들이 루마를 어떻게 이용했나요?

이 멀웨어의 개발자는 2022년 출시 이후 지하 포럼을 통해 마케팅을 진행하며 Lumma를 개선해 왔습니다.

Lumma는 다양한 서비스 계층을 제공합니다.

Microsoft는 최근 공격자가 Booking.com 여행 사이트를 사칭하여 피해자의 데이터를 넘겨주도록 속이는 피싱 캠페인이 발생했다고 강조했습니다.

사이버 보안 회사들은 제조, 물류, 의료 및 기타 중요 부문에 대한 공격을 보고했으며, Lumma는 게임 커뮤니티와 교육 기관도 표적으로 삼았습니다.

클릭픽스에서 루마 스틸러까지의 공격 경로 그림

이 멀웨어를 퇴치하기 어려운 이유

전문가들은 루마의 적응력 때문에 지속적인 위협이 될 수 있다고 지적합니다.

SOCRadar의 CISO인 엔사르 세커는 이번 사태를 "중요한 순간"이라고 말하면서도 공공과 민간 부문 간의 지속적인 협력이 여전히 필수적이라고 경고했습니다.

그는 주목했습니다,

"피싱, 멀버타이징, 신뢰할 수 있는 플랫폼 악용에 적응하는 루마의 능력은 위협 공격자들의 진화하는 전술을 잘 보여줍니다."

블랙덕의 CISO인 브루스 젠킨스는 루마가 영원히 사라졌다고 가정하는 것은 시기상조라고 덧붙였습니다.

그는 보안팀에 피싱 방어를 위해 경각심을 갖고 사용자 인식을 개선할 것을 촉구하면서 "강력한 엔드포인트 탐지 및 대응(EDR) 솔루션과 정기적인 데이터 백업 및 테스트된 복원 절차를 포함한 포괄적인 비즈니스 복원력 계획"을 권장했습니다.

오늘날 사이버 범죄의 현황

루마는 멀웨어가 서비스로 판매되어 경험이 적은 범죄자들도 강력한 사이버 범죄 도구에 접근할 수 있게 되는 추세의 일부입니다.

이러한 '인포스틸러'는 많은 최신 공격의 기반이 되며, 탈취한 인증 정보를 제공하여 추가적인 침해 사고를 유발합니다.

이러한 추세는 대규모 언어 모델 배포를 대상으로 하는 하이브리드 클라우드 침해 및 공격이 급격히 증가하고 있음을 보여주는 데이터와 일치합니다.

특히 암호화폐에 초점을 맞춘 멀웨어의 증가가 우려스러운 상황입니다.

지난 5월 초, 프린터 제조업체인 Procolored는 비트코인 지갑을 탈취하는 멀웨어를 배포하는 것이 발견되어 100만 달러에 가까운 금액을 도난당했습니다.

Chainalysis에 따르면 2024년 암호화폐 도난은 사기 조직, 국가 지원 해커, 인공지능의 도움을 받은 사기로 인해 510억 달러에 달했습니다.

암호화폐 탈취기란 무엇이며 왜 위험한가요?

암호화폐 지갑을 탈취하도록 설계된 악성 도구인 크립토 드레너는 지하 시장에서 최소 100달러에 SaaS(서비스형 소프트웨어)로 널리 이용되고 있습니다.

범죄자들은 피싱 사기, 가짜 에어드랍, 브라우저 확장 프로그램 등에 이러한 도구를 사용합니다.

사이버 보안 회사들은 다크넷 포럼에서 이러한 탈취 기법을 제공하는 다크넷이 크게 증가하고 있으며, 2024년에는 전년 대비 67% 증가한 약 5억 달러에 달하는 탈취 피해가 발생할 것으로 보고 있습니다.

일부 플랫폼이 당국과의 데이터 공유를 강화하고 있지만, 사이버 범죄자들은 탐지를 피하기 위해 토르와 같은 네트워크로 계속 이동하고 있습니다.

이 끈질긴 고양이와 쥐의 게임은 전 세계적으로 사이버 범죄를 해결해야 하는 지속적인 과제를 반영합니다.