포스팅 내용

국내외 보안동향

DoppelPaymer 랜섬웨어, 랜섬머니 지불하지 않을 경우 훔친 데이터 다크넷에 공개

DoppelPaymer Ransomware Sells Victims' Data on Darknet if Not Paid


DoppelPaymer 랜섬웨어가 피해자가 돈을 지불하지 않을 경우 훔친 파일을 판매하거나 공개하겠다고 선언했습니다.


최근 여러 랜섬웨어 운영자들이 피해자의 기기를 암호화하기 전 파일을 훔치는 전략을 사용하고 있습니다. 


이는 피해자가 랜섬머니를 지불하지 않을 경우 해당 데이터를 공개하거나 판매하겠다며 협박하는 형식입니다.


이 새로운 전략은 2019년 11월 Maze 랜섬웨어가 Allied Universal을 공격 후 랜섬머니를 받을 수 없게 되자 훔친 파일을 공개함으로써 시작되었습니다.


그 이후 Sodinokibi/REvil 랜섬웨어 또한 훔친 데이터를 게시했으며, Nemty 랜섬웨어는 그들의 서비스형 랜섬웨어(RaaS) 패널에서 해당 전략을 사용할 것이라고 발표하기도 했습니다.


DoppelPaymer는 과거 랜섬머니를 지불하지 않은 피해자의 데이터를 다크넷에 판매했다고 BleepingComputer 측에 전했습니다.



DoppelPaymer, 피해자의 데이터를 판매하겠다고 밝혀


DoppelPaymer의 Tor 지불 사이트를 살펴본 결과, 이들은 최근 피해자에게 ‘훔친 파일을 가지고 있으며 랜섬머니를 지불하지 않을 경우 이 파일을 공개하거나 판매하겠다’고 협박하기 시작했습니다.



<DoppelPaymer Tor 사이트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/doppelpaymer-ransomware-sells-victims-data-on-darknet-if-not-paid/>



DoppelPaymer 랜섬웨어 운영자는 BleepingComputer에 보낸 이메일을 통해 그들이 약 1년 동안 피해자로부터 데이터를 훔쳤다고 말했습니다. 


또한 이들은 랜섬머니를 지불하지 않은 피해자의 데이터를 다크넷에 익명으로 판매했다고 주장했으며, “비용을 충당하는 것”이 목적이었다고도 밝혔습니다.


이는 Maze가 일부 데이터를 공개한 후 공격 성공률이 상승한 것을 보여줍니다.


Tor 결제 사이트에서 공개한 새로운 전략으로 미루어 볼 때, DopplePaymer 측 또한 데이터를 공개하는 전략을 사용할 것으로 예측됩니다.


이들은 데이터를 실제로 훔쳤다는 증거로 그들이 해킹한 네트워크 2곳의 윈도우 도메인 사용자 목록을 포함한 엑셀 스프레드시트 파일 2개를 공유했습니다. 하지만 피해자로부터 훔친 파일을 공개하지는 않았습니다.



랜섬웨어 공격, 이제는 데이터 유출 사건으로 간주해야


많은 랜섬웨어 운영자들이 피해자의 데이터를 훔치고 돈을 지불하지 않을 경우 이를 공개하는 전략을 사용하기 시작했기 때문에 랜섬웨어 공격은 데이터 유출 사건으로 분류되어야 할 필요가 있습니다.


최근 발생한 랜섬웨어 사건은 기업뿐만 아니라 직원들의 중요한 개인정보도 도난당해 공개되었습니다.


이제 랜섬웨어의 공격을 받은 회사는 공격에 대해 투명하게 공개하여 공격에 영향을 받은 사용자와 기업이 개인정보 유출로 인한 피해를 입지 않도록 하는 것이 중요해졌습니다.



DoppelPaymer, 새로운 확장자 사용하기 시작


DoppelPaymer 랜섬웨어의 최신 버전에서는 암호화한 파일에 ".doppeled" 확장자를 사용하기 시작했습니다.


운영자는 확장자를 변경한 이유에 대해 피해자가 어떤 랜섬웨어의 공격을 받았는지 쉽게 알아낼 수 있도록 하기 위한 조치였다고 밝혔습니다.


DoppelPaymer는 BitPaymer 랜섬웨어에서 파생되었는데, 이번에 확장자가 변경되어 두 랜섬웨어 패밀리를 쉽게 구별해낼 수 있게 되었습니다.





출처:

https://www.bleepingcomputer.com/news/security/doppelpaymer-ransomware-sells-victims-data-on-darknet-if-not-paid/

https://twitter.com/malwrhunterteam/status/1220803219699441664

티스토리 방명록 작성
name password homepage