Resources

KARA ransomware trend report (1)

Date 2023. 01. 19

■ 랜섬웨어 트렌드

 랜섬웨어 트렌드 분석

최근 랜섬웨어는 Ransomware-as-a-Service (RaaS) 발전으로 세분화되고 조직화되어 활동을 하는 Lockbit, Royal, BlackCat(Alphv), Bianlian, BlackBasta와 같은 대형 그룹들이 가장 많은 활동과 피해를 입히고 있다

이들 그룹은 서비스형 랜섬웨어로 다양한 공격자에 의해 하나의 수익 모델로 사용되어 끊임없는 공격을 수행하고 있다. 특히 Lockbit 랜섬웨어는 ‘22년 9월경 내부 개발자에 의해 빌드 툴이 유출되었으며 이를 활용한 Bl00dy 랜섬웨어가 발견되기도 하였다

이러한 대형 그룹들의 공격이 활발하게 활동하고 있는 가운데 새로운 랜섬웨어 그룹기존 랜섬웨어의 변종들이 새로운 공격을 위해 우후죽순 생겨나고 있다.


📝 신규 랜섬웨어 및 그룹 활동

4분기에 새로 발견된 그룹 중 ProjectRelic, Qilin, FreeCivilian, Play 랜섬웨어는 다크웹에서 이 중 협박 전략을 채택하여 파일 암호화 및 유출된 정보를 게시하여 협박을 시도하고 있으며 10월에 발견된 Endurance 랜섬웨어는 포럼 사이트에서 미국 정부 관련 데이터를 포함한 총 18건의 게시를 통해 유출 데이터를 판매하고 있는 것이 확인되었다

해당 랜섬웨어는 다크웹 사이트 운영 준비와 Endurance 랜섬웨어의 연장선으로 보이는 Endurance-Wiper를 오픈소스 로 제작하는 등 다양한 활동과 활성화를 예시하는 듯한 정황이 확인되었다. 11월 중순 이후 새로운 유출 데이터에 대한 게시물이 없고 다크웹 사이트 접속이 불가하여 추가적인 활동 정 황이 발견되지 않았지만 12월 말경 새로운 유출 대상을 공개하며 Endurance 랜섬웨어를 통 한 공격이 지속되고 있는 것을 확인할 수 있다.

 

📝 랜섬웨어 공격 그룹 트렌드

랜섬웨어는 안정적인 수익 모델을 위한 다양한 전략과 탐지 회피 기법을 적용하여 공격을 시 도하고 있으며 공격 대상을 선정하기 위한 정찰 단계와 공격을 수행하기 위한 각종 수집스캔원격 접속 등의 도구 개발 및 침투 전략을 수립하는데 상당한 공을 들이고 있다고도화 된 랜섬웨어 제작부터 수준 높은 해킹 기술을 보유한 랜섬웨어 공격 그룹들의 활동이 지속되고 있으며 치밀하게 계획한 침투 전략과 세분화된 조직을 통해 정확하고 빠르게 공격을 수행 하여 다량의 피해가 발생하고 있다.


📝 변화하는 랜섬웨어

이러한 고도화된 타겟형 랜섬웨어 공격 이외에도 하반기 및 4분기에 발견되는 랜섬웨어는 조금씩 변화의 흐름을 보이기 시작했다

RansomExx 랜섬웨어는 Rust 기반으로 개발된 버전으로 업데이트 되었으며 이는 BlackCat, Hive, Luna 랜섬웨어 다음으로 발견된 Rust 기반 랜섬웨어로 조금씩 새로운 언어를 통해 개발된 경우가 발견되고 있다

또한 Wiper(데이터 파괴형악성코드인 Azov, BlackCat(Alphv) 그룹의 자체 제작 툴인 ExMatter의 파일 파괴 기능이 추가된 업데이트데이터베이스 서버를 노리는 GlobeImposter, Mallox, Masscan 등의 랜섬웨어 공격이 증가하기 시작했다

Wiper 악성코드는 지정학적인 문제와 사회/정치/외교적 문제 등으로 금전적 이득이 아닌 특정 악의적인 목적에 치중되어있다취약한 데이터베이스 서버를 노리는 랜섬웨어 공격은 예전부터 지속적으로 발견되어 왔지만 최근 국내 감염 사례가 증가하고 있어 주의와 관심이 필요하다.



1. 랜섬웨어 그룹 활동 및 통계

최근 3개월간의 랜섬웨어 그룹의 활동을 살펴보면 LockBit 랜섬웨어가 가장 활발한 활동을 보였으며 Royal, BlackCat(Alphv), Bianlian, BlackBasta 랜섬웨어 순으로 랜섬웨어에 공격당한 피해자를 확인할 수 있다

이들 상위 그룹의 랜섬웨어는 모두 RaaS 형태로 조직화된 그룹들 의 활동은 여전히 위협적인 모습을 보이고 있다또한 제조/서비스 환경의 지속적인 랜섬웨어 공격과 IT, 유통의료 관련 산업에 대한 공격도 많은 것을 확인할 수 있다.


2. 데이터 파괴형 랜섬웨어

10월경 Wiper(데이터 파괴형악성코드인 Azov가 등장하게 되는데 단순히 데이터 파괴만을 수행하며 사회/정치/외교적 이슈혼란 야기사이버 전쟁 등 특수한 목적을 위해 수행된 공격이다

사실상 Wiper 악성코드와 랜섬웨어는 엄밀히 말하면 다른 악성코드이다우선 궁극적인 목적이 다르다. Wiper 악성코드는 오로지 파괴만을 위해 사용되고 랜섬웨어는 금전적인 이득 을 위해 파일을 암호화하여 인질로 삼는다그러나 여기서 주목할 점은 궁극적인 목적은 다르지만 일부 전략의 유사성을 볼 수 있다는 점이다

공격 대상 선정최초 침투탐지 회피 기법 등 다양한 부분을 공유하고 있으며 Wiper, 랜섬웨어 악성코드 모두 정상적인 서비스 유지중요 파일에 대한 접근 등을 못하게 공격하여 타겟 대상을 마비시키는 악성 행위를 수행한다물론 여기서 악성 행위가 종료되면 궁극적인 목표가 다르기 때문에 Wiper와 랜섬웨어는 다른 분류로만 구분하는 것이 맞을 것이다하지만 추가적으로 포착한 정황을 바탕으로 이야기를 조금 확장할 수 있다.


위의 이야기에 덧붙여 BlackCat(Alphv) 랜섬웨어를 추가적으로 살펴볼 필요가 있다

Alphv 그룹의 자체 제작 툴인 ExMatter 정보 유출 툴은 BlackCat 랜섬웨어가 암호화를 수행하기 전 2중 협박을 위해 정보 유출을 목적으로 사용한다

최근 해당 툴의 업데이트를 통해 다양한 기능이 추가되었는데 그 중 자료 유출 후 파일을 파괴하는 형태의 기능을 추가하였다이러한 형태의 공격은 다음과 같은 시나리오를 생각할 수 있다.


1차적으로 데이터를 유출하고 2차적인 공격으로 데이터를 파괴 후 유출한 데이터를 이용하여 협박을 수행할 수 있다협박을 통해 성공적으로 수익을 얻게 된다면 암호화 알고리즘에 의존 하지 않아도 되는 구조 및 공격 전략을 수행할 수 있다.


암호화 알고리즘을 제외하고 데이터 파괴형으로 변화할 경우 공격 그룹은 새로운 모델과 전략을 수행할 수 있으며 기존에 존재하던 여러 위험 요소를 제거할 수 있게 된다암호화를 위 한 알고리즘의 취약점 혹은 복잡도에 따른 결함과 이슈가 발생하여 복호화 툴이 개발되거나 수익 모델을 잃는 경우도 사라지게 될 것이다

또한 대부분의 랜섬웨어가 RaaS 형태인 점을 보면 개발자와의 수익 배분 구조도 변경이 가능하여 공격 그룹 입장에서는 더 많은 수익을 얻을 수 있게 된다암호화 방식을 사용하지 않음으로써 조직화된 랜섬웨어 그룹의 구조가 변 할 수 있어 변화의 움직임에 관심을 기울이고 살펴볼 필요가 있다.


 BlackCat 랜섬웨어 – ExMatter

1) Background

📍 BlackCat 랜섬웨어는 Alphv 랜섬웨어 그룹에서 사용하고 있는 최신 버전의 랜섬웨어이며 RaaS 로 서비스형 랜섬웨어에 속한다.

📍 2020 년 월에 최초 발견된 DarkSide, 2021 년 월에 발견된 BlackMatter 를 거쳐 리브랜딩 된 랜섬웨어로 2021 년 11 월에 BlackCat 으로 바뀐 이후 현재까지 꾸준히 활동하고 있다.

📍 Alphv 그룹의 최초 랜섬웨어 DarkSide 는 2021 년 월 미국의 Colonial Pipeline 을 공격하여 인프라를 마비시켰으며 해당 사건으로 FBI 의 지속적인 추적을 통해 운영을 중단하였다.

📍 이후 2021 년 월 BlackMatter 로 이름을 변경하여 활동을 재개하였으며 DarkSide 의 암호화 알고리즘인 Custom Salsa20 을 사용하고 유출 사이트의 문구가 유사한 점 등을 바탕으로 Alphv 그룹의 Re-Branding된 랜섬웨어로 확인됐다2021년 9월 Olympus를 공격한 이력이 있으며 정부 및 수사 기관의 지속적인 압력으로 또 다시 운영을 중단하게 된다.

📍 마지막 버전인 BlackCat 랜섬웨어는 2021년 11월 활동을 재개하였으며 Rust 기반으로 작성된 최초의 랜섬웨어이다. BlackMatter 운영 중 사용했던 자체 제작한 정보 유출 툴인 Fendr 공격 도구를 재사용하였다. Fendr 혹은 ExMatter 로 불리는 정보 유출 툴은 꾸준히 기능을 업데이트하며 실제 공격에 사용되고 있다.

📍 2022년 8월 ExMatter의 다양한 기능이 추가되었으며 업데이트된 기능 중 파일 및 정보를 유출한 뒤 파일을 파괴하는 형태의 기능이 확인되었다. 


2) 특징

📍 데이터 유출 후 파일을 파괴하는 형태의 기능을 업데이트하여 파일 암호화가 아닌 파일을 파괴하는 형태의 새로운 전략을 사용한다.

📍 데이터 유출 방법으로 FTP 를 통한 업로드 기능이 추가되었다.

📍 핵심 정보만 추출하여 빠르게 유출 작업을 수행하기위해 특정 확장자만 수집하도록 변경하였으며 특정 폴더 명을 포함하는 경우 제외 후 데이터 유출 및 파괴를 위한 파일 리스트를 생성한다생성한 리스트를 추출할 수 있는 report 기능 또한 추가되었다.

📍 업데이트 기능 중 데이터를 파괴하는 형태의 핵심 기능이 추가되었으며 리스트화 된 파일 들의 데이터를 파괴한다.

📍 실행된 툴이 종료되기 전 파워쉘 명령어를 통해 프로세스 종료 후 툴을 파괴하며 Commercial 도메인이 아닌 경우에도 실행된 툴을 파괴한다.

📍 마지막으로 Socks5 프록시 지원 기능이 삭제되었다.

📍 파일 크기가 4,096 bytes ~ 약 67.1MB 인 경우 특정 확장자(pdf, doc, png, sql )를 포함하면서 특정 폴더 이름(Windows, Program Files )을 포함하고 있는 경우는 제외한 파일 유 출 대상 리스트를 생성한다.

📍 유출 방법으로는 sftp, ftp, webDAV 를 이용하며 전송되는 서버에 유출 대상의 호스트 이름 으로 생성된 폴더에 업로드 된다.

📍 서버에 모든 전송이 끝나면 파일을 파괴하는 작업을 수행한다생성한 파일 유출 리스트 에서 무작위로 2개의 파일을 선택 후 덮어씌우기위한 랜덤 사이즈를 채택하고 선택된 두 번째 파일의 시작 부분부터 선정한 랜덤 사이즈의 데이터를 읽어 첫번째 파일의 첫 부분 부터 데이터를 덮어 씌어 파일을 파괴하며 해당 행위를 반복 수행한다.

📍 랜덤한 파일을 선택하고 랜덤한 사이즈를 채택하여 파일 파괴 작업을 진행하기 때문에 파괴되지 않는 파일 혹은 여러 번 파괴되는 경우의 파일이 발생할 수 있다


3) IoC

📍 SHA256, File name, IPv4 *사진 첨부


* 2편은 여기에서 읽으실 수 있습니다.