오래간만에 S2W 위협 인텔리전스 센터에서 위협 그룹 프로파일링 보고서를 공개합니다.
지난 10월, 일본 유명 시계 브랜드 및 전자기기 대기업인 C사의 데이터 탈취를 주장한 Underground 그룹이 당월 12월에는 한국의 반도체 제조 기업 S사의 랜섬웨어 감염을 주장했습니다.
해당 보고서는 사건의 행위자 Underground 랜섬웨어 그룹에 대한 프로파일을 확인할 수 있는 난이도 높은 위협 인텔리전스 보고서입니다.
✅ 보고서 제목:
랜섬웨어 그룹 프로파일링 : Underground
✅ 보고서 요약:
1️⃣ 개요
Underground 랜섬웨어 그룹은 2023년 7월 3일, 해외 보안 업체인 Cyble이 최초로 발견한 랜섬웨어 그룹으로, 최소 2023년 7월부터 활동하고 있던 것으로 추정됩니다.
이들은 다크웹과 텔레그램 채널 등을 활용하여 피해 기업 목록과 유출 데이터를 업로드하는 것으로 확인됩니다.
2️⃣ 피해 현황
2024년 1월부터 11월까지 Underground 랜섬웨어에 의해 피해를 입은 기업은 19개로 확인됩니다.
피해 국가는 미국(7)이 가장 많았으며, 국내 기업 1개에 대한 피해가 보고되었습니다.
산업군별로는 제조업(5)이 가장 큰 피해를 입었고, 비즈니스 서비스(4)와 소매업(3)이 뒤를 이은 것으로 나타납니다.
3️⃣ 침투 과정
Underground 랜섬웨어 그룹 및 Affiliate는 최초 침투를 위해 피싱 캠페인을 수행하거나, 취약한 소프트웨어를 대상으로 한 취약점을 악용하는 것으로 알려져 있습니다.
이후 RomCom 악성코드 등을 통해 자격 증명 정보 등을 수집하고, Impacket과 같은 알려진 도구를 사용하여 측면 이동한 뒤 랜섬웨어를 배포합니다.
4️⃣ 공격 도구
Underground 랜섬웨어 그룹은 자격증명 정보와 스크린 캡처 탈취 및 원격 제어를 위해 RomCom 악성코드를 사용하며, 측면이동에 Impacket 도구를 활용하는 것으로 알려져 있습니다.
Underground 랜섬웨어를 유포하는 것으로 알려진 Storm-0978 그룹은 과거 Industrial Spy, Trigona 랜섬웨어를 사용한 이력이 존재합니다.
5️⃣ 주요 특징
Underground 랜섬웨어는 실행 시 인자를 통해 타겟 디렉토리 명을 입력받아 암호화를 수행하며, 인자가 입력되지 않으면 모든 디렉토리를 대상으로 암호화를 수행합니다.
파일 암호화는 3DES + RSA 알고리즘을 사용하며, 암호화된 파일의 마지막 오프셋에 140 bytes 크기의 정보를 기록합니다.
- RSA 암호화된 Key & IV (128 bytes)
- 원본 파일 크기 (8 bytes)
- File Marker: 0x31415926 (4 bytes)
6️⃣ 최근 동향
2024년 10월에 Underground 그룹은 일본 유명 대기업인 C사를 공격하여 데이터를 탈취하였다고 주장하였으며, 이로 인해 C사는 개인 데이터나 기타 기밀 정보가 도난당했는지 조사하기 위해 외부 IT 전문가를 고용하였다고 주장했습니다.
또한 Underground 그룹은 얼마 전 12월 17일에 한국의 반도체 제조 기업 S사의 주요 자료 탈취를 주장했습니다. 랜섬웨어는 탈취 데이터를 근거로 몸값(Ransom)을 지불하지 않으면 데이터를 손상시키거나 기밀 자료를 유출하겠다고 협박하는 악성코드(Malware)의 일종입니다.
해커가 공개한 탈취 데이터로는 CEO 보고서 및 이사회 자료, 예산 및 재무 자료, 애플(Apple) 파트너십 문서 등 주료 자료가 포함되어 있습니다.
📌 최근 두 달간 다크웹 빅데이터에서 발견된 랜섬웨어 그룹의 동향은 어떻게 되나요?
[2024년 10월]
10월에 510개의 기업이 랜섬웨어 공격에 피해를 당하여 랜섬웨어 그룹이 운영하는 Leak 사이트에 감염 사실이 게시되었습니다.
10월 한 달간 발생한 랜섬웨어 관련 주요 이슈를 4가지로 구분한 결과는 아래와 같습니다.
(1) Threat Actor & Malware: Windows, MacOS 운영체제를 타겟하는 Go 언어로 제작된 랜섬웨어가 등장하였으며, LockBit을 모방함. 또한, Rhysida 그룹의 다계층 인프라를 발견하고 추적하여 CleanUpLodaer 라는 백도어를 발견했습니다.
(2) Vulnerability: Akira와 Fog 가 Veeam RCE 취약점(CVE-2024-40711) 을 사용합니다.
(3) Major Victims: 일본의 대기업인 C사 가 Underground 에 의해 일부 서비스에 영향을 미치는 시스템이 중단되는 사고가 발생하였으며, Boston Children's Health Physicians 도 BianLian에게 피해를 입었습니다.
(4) Deep & Dark Web: BlackBasta 그룹이 자신들의 Leak 사이트에 Windows 대상 RCE 제로데이 취약점 구매 의사 표시하였으며, DragonForce 서버에서 탈취한 소스 코드와 제휴사 정보를 판매하려는 게시글이 XSS 포럼에 업로드되었습니다.
[2024년 11월]
11월에 584개의 기업이 랜섬웨어 공격에 피해를 당하여 랜섬웨어 그룹이 운영하는 Leak 사이트에 감염 사실이 게시되었습니다.
11월 한 달간 발생한 랜섬웨어 관련 주요 이슈를 4가지로 구분한 결과는 아래와 같습니다.
(1) Threat Actor & Malware: 신규 Helldown의 TTPs가 공개되었으며, CISA에서 공개한 BianLian의 권고문이 업데이트 되었습니다.
(2) Vulnerability: Romcom은 제로데이 취약점(CVE-2024-49039, CVE-2024-9680)을 악용했습니다.
(3) Major Victims: Cactus는 미국에서 가장 큰 공공주택 기관 중 하나인 로스앤젤레스 주택청(HACLA) 공격을 주장했습니다.
(4) Deep & Dark Web: @NMZ 유저는 AES-256 암호화를 사용하는 Android 랜섬웨어인 SRans에 대해 설명했습니다.
다크웹 빅데이터에서 발견된 랜섬웨어 이슈과 Underground 그룹의 상세 내용은 보고서 전문을 통해 확인하실 수 있습니다.
✅ 위협 탐지 권장 사항 및 조치 방안:
매달 발생하는 랜섬웨어 그룹 별 주요 이슈를 S2W 위협 인텔리전스 센터에서는 4가지 카테고리 (1. Threat Actor & Malware 2. Vulnerability 3. Major Victims 4. Deep Dark Web)로 구분해 인텔리전스를 제공하고 있습니다.
Underground 그룹의 경우 10월 Major Victims 카테고리에서 소개한 바 있으며 지속적인 랜섬웨어 보고서 모니터링을 통해 이에 대한 정보를 받아보실 수 있습니다.
*S2W 위협 인텔리전스 센터에서 퀘이사(QUAXAR) 플랫폼을 통해 고객사에 월간 “Story of the Month: Ransomware on the Darkweb” 보고서 제공 중
각 카테고리에 대한 구체적인 분석 및 조치 방안은 내용은 아래 링크를 통해 보고서 전문을 문의해 주세요.
🧑💻 보고서 작성자: S2W TALON (2024-11-20 기준)
👉 보고서 전문 문의하기: https://s2w.inc/ko/contact
*해당 보고서는 별도 문의 가능하며 S2W의 플랫폼 구독 시 전문으로 제공됩니다.