포스팅 내용

국내외 보안동향

수백 만 달러를 요구하는 새로운 타깃 랜섬웨어인 DarkSide 발견

DarkSide: New targeted ransomware demands million dollar ransoms

 

이달 초부터 DarkSide라는 새로운 랜섬웨어가 공격을 수행하기 시작했습니다. DarkSide는 커스텀 공격을 통해 이미 수백 만 달러를 벌어들인 것으로 나타났습니다.

 

공격자들은 2020810일부터 이 랜섬웨어를 통해 수 많은 기업을 노린 타깃 공격을 수행하기 시작했습니다.

 

공격자들은 보도 자료를 발표해 자신들이 다른 랜섬웨어와의 제휴를 통해 이미 수백 만 달러를 벌어들였다고 주장했습니다.

 

하지만 그들의 구미에 맞는 새로운 제품을 찾지 못하자 자체적으로 운영하기로 결정한 것으로 나타났습니다.

 

우리 제품은 시장에 막 출시된 새로운 것입니다. 하지만 그렇다고 경험 없이 갑자기 나타난 것은 아닙니다. 우리는 이전에 이미 잘 알려진 CryptoLocker와의 협업을 통해 수백 만 달러를 벌어들였습니다.”


우리가 사용할 완벽한 제품을 찾지 못했기 때문에 DarkSide를 만들기에 이르렀습니다. 이제 우리는 비로소 완벽한 제품을 찾았습니다.”

 

DarkSide기업을 망하게 하고 싶지 않기 때문에특정 규모의 랜섬머니를 지불할 여력이 되는 회사만을 노린다고 밝혔습니다.

 

  

<이미지 출처: https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/>

 

 

또한 공격자들은 아래 업계는 공격 대상으로 삼지 않는다고 밝혔습니다.

 

l  의학 (병원, 호스피스)

l  교육 (학교, 대학교)

l  비영리 단체

l  정부 기관

 

공격자들이 이 약속을 지킬지 여부는 아직까지 알 수 없습니다.

 

Bleeping Computer에서 목격한 피해자의 경우, DarkSide의 랜섬머니 금액은 20만 달러부터 200만 달러에 달했습니다. 피해자에 따라 이 금액은 적거나 많아질 수 있습니다.

 

  

<랜섬머니 금액>

<이미지 출처: https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/>

 

 

 

Bleeping Computer가 목격한 피해자 중 적어도 한 명은 100만 달러가 넘는 랜섬머니를 지불한 것으로 보입니다.

 


DarkSide, 피해자의 데이터를 암호화하기 전 훔쳐

 

다른 "인간 개입" 랜섬웨어 공격과 마찬가지로, DarkSide 운영자들은 네트워크에 침입 후 관리자 권한 및 윈도우 도메인 컨트롤러에 접근할 때까지 네트워크 내에서 측면 이동을 통해 확산됩니다.

 

공격자들은 측면 이동 중 피해자의 서버에서 암호화되지 않은 데이터를 수집해 그들의 기기에 업로드 합니다.

 

그 후 훔친 데이터는 데이터 유출 사이트에 게시하여 협박용으로 사용합니다.

 

데이터가 유출 사이트에 게시되면 공격자는 회사 이름, 사고 발생 일자, 훔친 데이터의 양, 데이터 스크린샷, 데이터 유형 등을 포함한 정보를 게시합니다.

 

  

<DarkSide 데이터 유출 사이트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/>

 

 

DarkSide는 피해자가 랜섬머니를 지불하지 않을 경우, 그들이 훔친 모든 데이터를 웹사이트에 6개월 동안 게시할 것이라 밝혔습니다.

 

이러한 전략은 피해자가 백업을 통해 데이터를 복구하더라도 랜섬머니를 지불하도록 협박하기 위한 것입니다.

 

DarkSide는 피해자가 랜섬머니를 지불할 경우 유출 사이트에 게시된 피해자의 데이터를 삭제할 것이라 밝혔습니다.

 


커스텀 랜섬웨어 공격

 

DarkSide는 공격을 실행 시 공격 대상인 특정 회사만을 위한 커스텀 랜섬웨어 실행파일을 생성합니다.

 

랜섬웨어가 실행되면 피해자가 파일을 복구하는 것을 막기 위해 시스템에서 섀도우 볼륨 복사본을 제거하는 PowerShell 명령을 실행합니다.

 

Advanced IntelVitali Kremez에 따르면 이후 공격자는 다양한 데이터베이스, 오피스 애플리케이션, 메일 클라이언트를 종료하여 기기를 암호화하기 위한 준비를 시작합니다.

 

DarkSide는 시스템 암호화 시 아래 프로세스를 종료하지 않습니다.

 

vmcompute.exe

vmms.exe

vmwp.exe

svchost.exe

TeamViewer.exe

explorer.exe

 

랜섬웨어가 TeamViewer를 종료하지 않는 것은 흔히 발생하지는 않습니다. 이로써 공격자가 컴퓨터에 원격으로 접근하는데 이 프로그램을 사용하고 있다는 것을 알 수 있습니다.

 

이 암호화 프로세스를 분석한 Michael Gillespie는 해당 랜섬웨어가 파일을 암호화하기 위해 Salsa20 키를 사용한다고 밝혔습니다. 이후 이 키는 실행파일에 포함된 공개 RSA-1024 키를 통해 암호화됩니다.

 

또한 각 피해자에게는 MAC 주소의 커스텀 체크섬(checksum)을 이용하여 생성된 커스텀 확장자가 부여됩니다.

 

  

<DarkSide로 암호화된 파일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/darkside-new-targeted-ransomware-demands-million-dollar-ransoms/>

 

 

각 실행파일은 커스텀 “Welcome to Dark” 랜섬노트를 포함하고 있습니다. 해당 랜섬노트에는 훔친 데이터의 양, 데이터 타입, 데이터 유출 사이트에 게시된 그들 데이터의 링크가 기재되어 있습니다.