DarkSide: New targeted ransomware demands million dollar ransoms
이달 초부터 DarkSide라는 새로운 랜섬웨어가 공격을 수행하기 시작했습니다. DarkSide는 커스텀 공격을 통해 이미 수백 만 달러를 벌어들인 것으로 나타났습니다.
공격자들은 2020년 8월 10일부터 이 랜섬웨어를 통해 수 많은 기업을 노린 타깃 공격을 수행하기 시작했습니다.
공격자들은 “보도 자료”를 발표해 자신들이 다른 랜섬웨어와의 제휴를 통해 이미 수백 만 달러를 벌어들였다고 주장했습니다.
하지만 그들의 구미에 맞는 새로운 “제품”을 찾지 못하자 자체적으로 운영하기로 결정한 것으로 나타났습니다.
“우리 제품은 시장에 막 출시된 새로운 것입니다. 하지만 그렇다고 경험 없이 갑자기 나타난 것은 아닙니다. 우리는 이전에 이미 잘 알려진 CryptoLocker와의 협업을 통해 수백 만 달러를 벌어들였습니다.”
“우리가 사용할 완벽한 제품을 찾지 못했기 때문에 DarkSide를 만들기에 이르렀습니다. 이제 우리는 비로소 완벽한 제품을 찾았습니다.”
DarkSide는 “기업을 망하게 하고 싶지 않기 때문에” 특정 규모의 랜섬머니를 지불할 여력이 되는 회사만을 노린다고 밝혔습니다.
<이미지 출처: https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/>
또한 공격자들은 아래 업계는 공격 대상으로 삼지 않는다고 밝혔습니다.
l 의학 (병원, 호스피스)
l 교육 (학교, 대학교)
l 비영리 단체
l 정부 기관
공격자들이 이 약속을 지킬지 여부는 아직까지 알 수 없습니다.
Bleeping Computer에서 목격한 피해자의 경우, DarkSide의 랜섬머니 금액은 20만 달러부터 200만 달러에 달했습니다. 피해자에 따라 이 금액은 적거나 많아질 수 있습니다.
<랜섬머니 금액>
<이미지 출처: https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/>
Bleeping Computer가 목격한 피해자 중 적어도 한 명은 100만 달러가 넘는 랜섬머니를 지불한 것으로 보입니다.
DarkSide, 피해자의 데이터를 암호화하기 전 훔쳐
다른 "인간 개입" 랜섬웨어 공격과 마찬가지로, DarkSide 운영자들은 네트워크에 침입 후 관리자 권한 및 윈도우 도메인 컨트롤러에 접근할 때까지 네트워크 내에서 측면 이동을 통해 확산됩니다.
공격자들은 측면 이동 중 피해자의 서버에서 암호화되지 않은 데이터를 수집해 그들의 기기에 업로드 합니다.
그 후 훔친 데이터는 데이터 유출 사이트에 게시하여 협박용으로 사용합니다.
데이터가 유출 사이트에 게시되면 공격자는 회사 이름, 사고 발생 일자, 훔친 데이터의 양, 데이터 스크린샷, 데이터 유형 등을 포함한 정보를 게시합니다.
<DarkSide 데이터 유출 사이트>
<이미지 출처: https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/>
DarkSide는 피해자가 랜섬머니를 지불하지 않을 경우, 그들이 훔친 모든 데이터를 웹사이트에 6개월 동안 게시할 것이라 밝혔습니다.
이러한 전략은 피해자가 백업을 통해 데이터를 복구하더라도 랜섬머니를 지불하도록 협박하기 위한 것입니다.
DarkSide는 피해자가 랜섬머니를 지불할 경우 유출 사이트에 게시된 피해자의 데이터를 삭제할 것이라 밝혔습니다.
커스텀 랜섬웨어 공격
DarkSide는 공격을 실행 시 공격 대상인 특정 회사만을 위한 커스텀 랜섬웨어 실행파일을 생성합니다.
랜섬웨어가 실행되면 피해자가 파일을 복구하는 것을 막기 위해 시스템에서 섀도우 볼륨 복사본을 제거하는 PowerShell 명령을 실행합니다.
Advanced Intel의 Vitali Kremez에 따르면 이후 공격자는 다양한 데이터베이스, 오피스 애플리케이션, 메일 클라이언트를 종료하여 기기를 암호화하기 위한 준비를 시작합니다.
DarkSide는 시스템 암호화 시 아래 프로세스를 종료하지 않습니다.
vmcompute.exe
vmms.exe
vmwp.exe
svchost.exe
TeamViewer.exe
explorer.exe
랜섬웨어가 TeamViewer를 종료하지 않는 것은 흔히 발생하지는 않습니다. 이로써 공격자가 컴퓨터에 원격으로 접근하는데 이 프로그램을 사용하고 있다는 것을 알 수 있습니다.
이 암호화 프로세스를 분석한 Michael Gillespie는 해당 랜섬웨어가 파일을 암호화하기 위해 Salsa20 키를 사용한다고 밝혔습니다. 이후 이 키는 실행파일에 포함된 공개 RSA-1024 키를 통해 암호화됩니다.
또한 각 피해자에게는 MAC 주소의 커스텀 체크섬(checksum)을 이용하여 생성된 커스텀 확장자가 부여됩니다.
<DarkSide로 암호화된 파일>
<이미지 출처: https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/>
각 실행파일은 커스텀 “Welcome to Dark” 랜섬노트를 포함하고 있습니다. 해당 랜섬노트에는 훔친 데이터의 양, 데이터 타입, 데이터 유출 사이트에 게시된 그들 데이터의 링크가 기재되어 있습니다.
<DarkSide 랜섬노트>
<이미지 출처: https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/>
현재까지는 이 랜섬웨어에서 취약점을 발견할 수 없었으며 파일을 무료로 복구할 수 있는 방법이 없는 상태입니다.
REvil과의 연관 가능성
연구원들은 DarkSide 분석 시 REvil 랜섬웨어와 유사한 점을 발견할 수 있었습니다.
가장 명백한 점은 REvil과 거의 동일한 랜섬노트 양식을 사용한다는 것입니다.
<REvil 랜섬노트>
<이미지 출처: https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/>
BleepingComputer에서 DarkSide의 행동을 분석한 결과, 랜섬웨어가 처음 실행될 때 인코딩된 PowerShell 스크립트가 실행된다는 것을 발견했습니다.
<실행되는 PowerShell 명령어>
<이미지 출처: https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/>
난독화를 해제하자 해당 PowerShell 명령은 섀도우 볼륨 복사본을 삭제하는데 사용된 것을 볼 수 있었습니다.
Get-WmiObject Win32_Shadowcopy | ForEach-Object {$_.Delete();}
PowerShell을 통해 위의 명령을 실행하는 것은 REvil의 방법과 동일합니다.
또한 MalwareHunterTeam은 DarkSide가 CIS 국가의 감염을 의도적으로 피한다는 사실을 발견했습니다. 이 코드는 REvil 및 GandCrab에서 자주 사용되는 것과 유사합니다.
<이미지 출처: https://twitter.com/malwrhunterteam/status/1293229435848712199>
이러한 유사점은 아직까지 모호하지만 추가 모니터링이 필요할 것으로 판단됩니다.
출처:
이란 해커들, 노출된 RDP 서버 공격 통해 Dharma 랜섬웨어 배포 (0) | 2020.08.25 |
---|---|
Freepik 데이터 유출 발생, SQL 인젝션 통해 830만 기록 훔쳐 (0) | 2020.08.24 |
IBM DB2의 메모리 유출 취약점, 민감 데이터 접근 및 DoS 유발 가능 (0) | 2020.08.21 |
구글, 익스플로잇 공개 후 7시간 만에 Gmail 취약점 수정 (0) | 2020.08.21 |
CISA, 북한 악성코드의 새로운 변종인 BLINDINGCAN에 대해 경고 (0) | 2020.08.20 |
댓글 영역