대기업 노리는 ‘크립토24’ 랜섬웨어 조직…EDR 무력화시키고 공격

금융, 제조, 엔터테인먼트, 기술 등 대기업 집중 공격

신규 랜섬웨어 조직 ‘크립토24(Crypto24)’가 미국, 유럽, 아시아의 대형 조직을 표적으로 삼아 보안 솔루션을 무력화한 뒤 데이터 탈취와 파일 암호화를 수행하는 공격을 벌이고 있다. 트렌드마이크로 분석에 따르면, 이번 공격은 정상 관리 도구와 맞춤형 악성코드를 결합해 단계별로 진행되며, 특히 야간이나 감시가 느슨한 시간대에 작전을 전개해 탐지를 피하는 것이 특징이다. 표적은 금융, 제조, 엔터테인먼트, 기술 등 대기업에 집중됐다.

크립토24의 최초 활동은 지난해부터 시작됐으며, 최근 대형 조직 피해가 확인되면서 위협 수준이 급상승했다. 보안업계는 이 그룹이 과거 활동을 중단한 유명 랜섬웨어 조직의 핵심 인력이 합류해 재편성됐을 가능성을 제기하고 있다.

침투 후 공격자는 비활성화된 기본 관리자 계정을 다시 활성화하거나 새로운 로컬 계정을 생성해 은밀하게 권한을 확보했다. 이어 배치 스크립트와 명령어를 사용해 시스템 하드웨어, 디스크 구성, 계정 및 그룹 정보를 수집했다. 이후 계속 잠복하면서 키로거와 랜섬웨어 악성코드를 침투시킨다.

권한 상승과 내부 확장을 위해 특정 관리 도구를 악용했고, 원격 데스크톱 허용 설정 변경, 방화벽 예외 추가, 원격 접속 프로그램을 설치한다. 또한 IP 스캐너와 SMB 공유를 활용해 네트워크 내부로 확산한다.

방어 우회 과정에서는 오픈소스 도구를 변형시켜 보안 에이전트 드라이버의 메타데이터에서 제조사 이름을 추출하고, 미리 정의한 목록과 일치하면 커널 콜백과 후킹을 비활성화해 탐지 기능을 무력화했다. 우회 대상은 카스퍼스키, 소포스, 센티넬원, 말웨어바이츠, 비트디펜더, 브로드컴(시만텍), 시스코, 포티넷, 트렌드마이크로 등의 EDR 솔루션이 주요 대상이었다.

특히 트렌드마이크로 제품의 경우, 공격자가 관리자 권한을 확보하면 그룹정책 유틸리티를 통해 보안솔루션 에이전트를 완전히 제거하기도 한 것으로 드러났다.

보안 전문가들은 이번 사례가 최근 랜섬웨어 조직들이 취약 드라이버나 맞춤형 도구를 이용해 보안 솔루션의 커널 레벨 후킹과 콜백을 제거함으로써, 초기 침입 이후의 활동을 장기간 은폐하는 전략이 확산되고 있다고 주의를 당부했다.

[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업