Qilin Ransomware (Agenda): A Deep Dive
아젠다 랜섬웨어라고도 알려진 Qlin 랜섬웨어는 제휴사에 기술을 판매하여 자체 공격을 실행하도록 하는 인기 있는 RaaS(서비스형 랜섬웨어) 운영 방식입니다. 랜섬웨어 이중 갈취 전술을 사용하는 것으로 알려진 계열사들은 RaaS 운영을 위해 협력하고 있습니다. 제휴사는 데이터를 암호화하고 유출함으로써 민감한 정보를 유출하여 결제를 요구할 때 압력을 가할 수 있습니다.
골랑과 러스트 프로그래밍 언어로 작성된 샘플을 사용하는 치린 랜섬웨어는 크로스 플랫폼 공격이 가능하며 고가의 피해자를 노리는 것으로 알려져 있습니다. 치린/아젠다 랜섬웨어 변종은 전 세계적으로 가장 활발하게 활동하는 랜섬웨어 중 하나로 진화했습니다.
조직은 증가하는 랜섬웨어 위협과 그 영향을 완화할 수 있는 보안 제어 및 모범 사례를 이해해야 합니다.
치린/아젠다 랜섬웨어 출현
치린 랜섬웨어의 첫 번째 사례는 2022년에 그룹이 유출된 데이터를 전용 유출 사이트(DLS)에 게시하기 시작하면서 탐지되었습니다. 이 사이트의 초기 게시물은 '아젠다'라는 이름으로 작성되었으며, 이는 여전히 일반적으로 사용되고 있는 골랑 랜섬웨어의 원래 이름입니다.
Qilin 랜섬웨어는 주로 Windows 시스템을 대상으로 하지만, VMware ESXi 서버를 대상으로 하는 Linux 변종도 확인되었습니다.
2022년 9월, 랜섬웨어는 중국 신화에 나오는 생물의 이름을 딴 치린(Qilin)이라는 이름으로 브랜드를 변경했습니다. 이 그룹의 랜섬웨어 계열사의 공격은 독립국가연합(CIS)에 있는 조직을 표적으로 삼지 않는 경향이 있어 러시아가 위협 행위자일 가능성이 있습니다.
랜섬웨어 제휴사
해킹 포럼에서 랜섬웨어 계열사를 모집하는 것은 2023년 말에 처음 관찰되었습니다.
RaaS 운영은 제휴사에게 공격을 시작하는 데 필요한 모든 도구와 인프라를 제공합니다. 그 대가로 치린 RaaS 그룹은 15~20% 의 몸값을 받습니다.
2024년 6월, 치린 랜섬웨어는 런던의 여러 병원에 진단 및 병리학 서비스를 제공하는 것으로 유명한 영국 기반 의료 회사인 시노비스를 최대 피해자로 만들었습니다. 치린 공격은 약 400GB의 의료 데이터 유출을 막기 위해 5천만 달러의 몸값을 요구했습니다.
이 공격은 Qilin의 역량을 부각시켰고, 그 이후로 RaaS 운영은 더욱 성장했습니다.
사이버 보안 현황 보고서 조사 결과
2025년 사이버 보안 현황 보고서에 따르면, 2024년 11월 DLS를 분석한 결과 치린은 5% 의 피해자를 차지했습니다.
몸값을 지불한 피해자는 랜섬웨어 그룹의 DLS에 나타나지 않기 때문에 이 데이터는 실제 활동을 측정하지 않는다는 점을 기억하는 것이 중요합니다. 하지만 2025년에는 인기 있는 RaaS 그룹, 특히 랜섬허브의 중단으로 인해 치린 랜섬웨어가 다시 급증했습니다.
치린 랜섬웨어 감염 벡터: 피싱, RMM, VPN
다음은 표적의 네트워크에 액세스하기 위한 가장 일반적인 Qilin 랜섬웨어 배포 방법입니다:
- 피싱 이메일 및 피해자가 악성 링크를 클릭하도록 유도하는 표적 스피어 피싱 캠페인.
- 노출된 애플리케이션과 인터페이스를 진입 지점으로 악용합니다. 일반적인 예로는 Citrix 및 RDP(원격 데스크톱 프로토콜)가 있습니다.
- 구글 크롬을 표적으로 삼는 인포스틸러 멀웨어.
- 손상된 계정을 통해 조직의 가상 사설망(VPN)에 액세스하는 경우.
Qilin 랜섬웨어가 초기 액세스 권한을 획득하면, 암호화 및 유출할 중요한 데이터를 찾기 위해 새로운 시스템에 액세스하기 위해 측면으로 이동하기 시작합니다.
이 과정에서 원격 모니터링 및 관리(RMM) 도구가 자주 활용되며, Cobalt Strike는 정기적으로 바이너리를 배포합니다. 랜섬웨어 실행 파일은 PsExec 및 보안 셸(SSH) 도구를 통해 전파될 수 있으며, 취약한 시스템 드라이버는 방어를 회피하기 위해 악용됩니다.
Qilin 랜섬웨어 기능: 암호화 및 회피 기법
치린 계열사는 이중 갈취 랜섬웨어를 사용하는 것으로 유명합니다.
즉, 피해자의 데이터를 암호화하여 운영을 방해하는 동시에 토르에서 호스팅되는 DLS에 민감한 정보를 게시하겠다고 협박합니다. 이중 갈취 기법을 사용하는 랜섬웨어는 피해자에게 추가적인 압박을 가하고 몸값을 받을 가능성을 높이는 것을 목표로 합니다.
통신 및 결제는 랜섬웨어 계열사의 신원을 보호하고 법 집행 기관이 치린을 수사하는 것을 방해하도록 설계되었습니다. 여기에는 다음이 포함됩니다:
- 커뮤니케이션을 위한 다크 웹 포털 또는 암호화된 메시징 앱 사용
- 암호화폐를 통해 지불되는 몸값
치린 랜섬웨어 계열사는 정교한 RaaS 운영을 통해 자체 변종을 개발하고 공격 대상에 맞게 기능을 조정할 수 있습니다. 여기에는 암호화 및 회피를 위한 다양한 설정 구성이 포함됩니다.
일반적으로 사용되는 암호화 알고리즘은 다음과 같습니다:
- ChaCha20
- AES
- RSA-4096
암호화는 운영자가 제어하는 다양한 모드를 통해 배포됩니다. 여기에는 일반, 단계 건너뛰기, 빠름 및 퍼센트가 포함됩니다.
각 모드를 통해 랜섬웨어 계열사는 속도 또는 완성도에 우선순위를 두어 공격을 조정할 수 있습니다. 제휴사는 암호화된 파일의 파일명 확장자를 선택할 수도 있습니다. 분석 결과, 각 피해자는 암호화된 파일에 고유한 회사 ID 확장자를 추가했습니다.
공격자는 피해자의 시스템 내에서 다음과 같은 다양한 파일 유형을 표적으로 삼을 수 있습니다:
- 문서
- 이미지
- Databases
문자열 암호화, 함수 이름 바꾸기, 제어 흐름 변경 등 코드 난독화 및 회피 기술도 사용할 수 있습니다. Qilin은 다재다능하고 은밀하며 사용하기 쉬운 랜섬웨어로 판매되고 있습니다. 구성 설정은 모두 제휴사 패널을 통해 이루어지므로 다양한 공격에 맞게 기반 기술을 간편하게 조정할 수 있습니다.
Qilin.B 변종
2024년에 처음 관찰된 주목할 만한 변종으로 랜섬웨어의 기능을 강화하는 Qilin.B가 있습니다. 이 변형은 향상된 암호화 및 회피 기술을 제공합니다.
다양한 시스템에 맞는 다양한 암호화 기술을 제공합니다.
(개인 키 없이는 손상된 데이터에 액세스할 수 없습니다.)
Rust 랜섬웨어인 Qilin.B는 보안 도구와 관련된 서비스를 종료하고 Windows 이벤트 로그를 지우는 방식으로 보호를 방해합니다. 또한 페이로드를 리버스 엔지니어링하여 분석을 방해하기 위해 공격 후 스스로 삭제합니다.
마지막으로 Qilin.B는 볼륨 섀도 복사본을 삭제하여 복구 작업을 더 어렵게 만듭니다.
대상 산업
RaaS 운영인 Qilin은 기술 배후 그룹이 아닌 랜섬웨어 계열사가 공격 대상을 선택합니다. 일반적인 공격 대상은 더 높은 몸값을 갈취하기 위해 고가의 데이터를 보유한 대규모 조직입니다. 이는 다음과 같이 랜섬웨어 공격자들이 즐겨 사용하는 산업으로 이어집니다:
- 의료
- 교육
앞서 설명한 것처럼 치린의 가장 유명한 공격은 영국에 본사를 둔 의료 기관 시노비스(Synnovis)에 대한 공격이었습니다.
이 랜섬웨어 공격으로 여러 병원에서 심각한 혼란이 발생하여 6,000건 이상의 진료 예약과 시술이 취소되고 헌혈이 부족해졌습니다.
다른 Qilin 의료 랜섬웨어 피해자는 다음과 같습니다:
- 센트럴 텍사스 소아 정형외과
- 매사추세츠의 다음 단계 의료 서비스
- 캘리포니아의 건강 신탁
의료 기관은 민감한 환자 데이터에 의존하는 중요한 서비스를 운영하지만 예산과 사이버 보안 전문 지식이 부족한 경우가 많기 때문에 의료 랜섬웨어 공격이 특히 흔합니다.
교육 및 의료 랜섬웨어 공격이 치린 계열사들 사이에서 더 흔하게 발생하지만, 일반적으로 CIS 지역에서는 공격이 눈에 띄게 없다는 점을 제외하면 특정 표적 공격보다는 기회주의적인 공격이 더 많은 것으로 보입니다.
이 밖에도 영국의 거리 신문사 빅이슈, 자동차 회사 얀펑, 호주 법원 서비스 등이 대표적인 치린 피해자입니다.
최근 전술: 포티넷 익스플로잇 및 제휴사 법률 자문
최근 치린 계열사가 사용한 전술에는 회사의 방화벽을 겨냥한 포티넷 취약성 랜섬웨어 공격이 포함됩니다.
특히 이러한 공격은 두 가지 중요한 포티넷 취약점을 악용합니다:
- CVE-2024-21762: 원격으로 명령을 실행할 수 있는 범위를 벗어난 쓰기 취약성.
- CVE-2024-55591: 권한 상승을 위한 인증 우회 취약성.
이 두 가지 취약성 모두 FortiOS/FortiProxy SSL VPN 장치에 영향을 미칩니다. 처음에 이러한 포티넷 취약성 랜섬웨어 공격은 스페인어권 국가의 조직을 표적으로 삼았습니다. 하지만 다른 지역으로 확산될 것으로 예상됩니다.
치린 그룹은 포티넷 취약점 공격을 자동화하고 있으며, 제휴사는 공격 대상을 선택하기만 하면 공격을 실행할 수 있습니다.
또 다른 최근 업데이트는 새로운 '변호사 호출' 기능을 통해 제휴사에게 법률 자문을 제공하는 Qilin RaaS 패널입니다. 이는 몸값 협상에 도움을 줄 수 있는 변호사의 도움을 제공함으로써 피해자에 대한 압박을 더욱 강화하기 위한 것입니다.
제휴사는 피해자가 공격을 허용함으로써 위반한 정확한 규정을 파악하고 몸값을 지불하지 않을 경우 발생할 수 있는 잠재적 비용에 대한 전문가의 평가를 받을 수 있습니다.
탐지, 완화 & 예방 전략
치린 랜섬웨어는 제휴사에게 광범위한 기능을 제공하지만, 성숙한 사이버 보안 전략을 갖춘 조직은 공격을 탐지, 완화 및 예방할 수 있습니다.
랜섬웨어 공격의 위험을 줄이는 모범 사례 및 보안 제어 방법은 다음과 같습니다:
- 격리된 오프사이트 인프라를 활용하여 가장 중요한 데이터를 안전하게 백업하세요.
- 가장 최신의 안전한 소프트웨어를 실행할 수 있도록 적절한 패치 관리 프로세스를 배포합니다.
- 일반적인 작업 이외의 의심스러운 활동이 있는지 네트워크 트래픽을 모니터링합니다.
- 강력하고 고유한 비밀번호와 다중 인증 (MFA)을 기반으로 강력한 인증 절차를 구현합니다.
- 네트워크를 세분화하여 초기 무단 액세스 후 측면 이동을 제한합니다.
- 피싱 이메일 식별과 같이 가장 일반적으로 사용되는 랜섬웨어 배포 방법을 이해하도록 직원을 교육합니다.
- 민감한 데이터가 전송 중일 때뿐만 아니라 시스템에 저장되어 있을 때에도 암호화합니다.
- 치린과 같은 위협을 차단하는 포괄적인 보호 기능을 제공하는 시중 최고의 랜섬웨어 방지 보안 도구를 찾아보세요.
Ransomware Protection with 체크 포인트
Check Point Endpoint Security 는 가장 정교한 공격도 차단하는 완벽한 랜섬웨어 방지 솔루션입니다. 광범위한 엔드포인트 보안 제어는 네트워크에 대한 무단 액세스를 거부하고 자동화된 복구 도구는 잠재적인 침해의 영향을 최소화합니다.
Check Point Endpoint Security는 비용 효율적인 올인원 솔루션으로Qilin 및 기타 랜섬웨어 위협으로부터 조직을 보호하는 데 필요한 모든 것을 제공합니다 .
지금 바로 맞춤형 무료 데모를 요청하고 정확한 요구 사항을 충족하는 방법을 알아보세요.
