NightSpire 그룹은?
2025년 2월부터 모습을 드러낸 NightSpire는 최근 가장 주목받는 랜섬웨어 그룹 중 하나입니다. 이들은 단순히 데이터를 암호화하는 수준을 넘어서, 훔친 데이터를 외부에 공개하겠다고 협박하는 이중 갈취 방식을 사용합니다. 피해자는 데이터 접근 권한을 잃을 뿐 아니라, 기업의 명성과 신뢰까지 잃을 수 있는 이중 압박에 시달리게 됩니다.
어떻게 침투하나요?
NightSpire는 흔히 사용되는 방법을 총동원합니다.
- 이메일 피싱 링크
- 취약한 VPN과 방화벽
- 원격 데스크톱(RDP) 계정 탈취
- 웹 애플리케이션 취약점
마치 집에 들어오기 위해 창문, 대문, 심지어 옆집 담장까지 모두 시도하는 도둑과 같은 방식입니다.
일단 침투에 성공하면, NightSpire는 다양한 도구를 사용하여 내부를 장악합니다.
- 계정을 훔쳐내는 프로그램
- 원격 실행 도구
- PowerShell 스크립트
- 네트워크 스캐너
그리고 데이터를 강력한 암호화 기법으로 봉인하고, 복구를 방해하기 위해 백업까지 지워버립니다. 최종적으로는 파일 이름 뒤에 “.nspire”라는 흔적을 남기며, 몸값을 요구하는 메시지를 남깁니다.
협박의 방식
NightSpire는 전용 유출 사이트를 운영합니다. 피해자의 이름과 훔친 데이터를 공개 카운트다운과 함께 게시하며, “돈을 내지 않으면 곧 전 세계가 이 정보를 볼 것”이라는 압박을 가합니다. 협박 메시지 역시 매우 위협적이며, 협상 채널로는 익명 메일과 메신저를 활용합니다.
피해 범위
피해 대상은 특정 지역이나 업종에 국한되지 않습니다. 국내에서도 피해 사례가 속속 보고되고 있습니다. 중소기업을 비롯하여 일부 제조·서비스 기업에서 랜섬노트가 발견되었고, 고객 정보 유출 우려로 조사가 진행 중입니다. 이는 더 이상 해외 기업만의 문제가 아니라는 점을 분명히 보여줍니다.
블랙쏘세지로 링크를 안전하게 보세요
NightSpire의 공격 방식 중 하나는 악성 링크를 클릭하게 만드는 것입니다. 이때 도움이 되는 것이 원격 브라우저 격리(Remote Browser Isolation) 기술입니다. 누른 링크를 내 스마트폰이 아닌, 원격의 안전한 브라우저에서 먼저 실행하여 위험을 차단하는 방식입니다. 이를 활용한 서비스가 블랙쏘세지입니다.
따라서 어떤 링크든 안전하게 확인할 수 있는 환경을 제공합니다.
'보안 > 사건 사고' 카테고리의 다른 글
| 960만 회원을 보유한 ‘롯데카드’ 해킹 사고 (0) | 2025.09.02 |
|---|---|
| 문픽 ’MoonPeak’, 북한 해커들의 은밀한 원격제어 무기 (4) | 2025.08.29 |
| 랜섬웨어와 VPN, 믿었던 방패가 칼날이 될 때 (5) | 2025.08.26 |
| 웨스트젯(WestJet) 개인정보 유출 사건 (0) | 2025.08.22 |
| SFA 엔지니어링, 랜섬웨어에 털린 2.3TB 자료 (0) | 2025.08.21 |
