ProLock ransomware increases payment demand and victim count
ProLock 랜섬웨어 운영자들이 지난 6개월 동안 수 많은 공격을 실행한 것으로 나타났습니다. 이들은 6개월 동안 매일 평균 1건의 공격을 실행했습니다.
2019년 말, 이 랜섬웨어는 PwndLocker라는 이름으로 실패를 겪었습니다. 악성코드 내 암호화 취약점으로 인해 파일을 무료로 복호화할 수 있었던 것입니다. 이후 해당 취약점을 수정하여 재정비한 후 이름을 ProLock으로 변경했습니다.
이 공격자들은 처음부터 기업 네트워크를 노렸으며, 랜섬머니로 $175,000 ~ $660,000 이상의 높은 금액을 요구했습니다.
지난 3월부터 ProLock이라는 이름으로 새로운 활동을 시작한 후, 이는 더욱 왕성하게 활동하기 시작했으며 랜섬머니 금액도 더욱 높였습니다. 사이버 보안 회사인 Group-IB에 따르면, 평균 랜섬머니 금액이 180만 달러로 증가한 것으로 나타났습니다.
간단하지만 효과적인 전략
ProLock 공격자들은 더 많은 랜섬머니를 지불할 수 있는 대규모 네트워크를 운영하는 기업을 노렸으며, 타깃 분야에는 딱히 제한을 두지 않았습니다. 지금까지는 유럽과 북미의 기업만을 노린 것으로 보입니다.
Group-IB의 연구원들은 지난 반 년 동안 ProLock 작전 150건 이상을 발견했으며 가장 최근 발생한 피해자는 225비트코인($230만 이상)을 지불할 것을 요구 받았다고 밝혔습니다.
<이미지 출처: https://www.bleepingcomputer.com/news/security/prolock-ransomware-increases-payment-demand-and-victim-count/>
이 그룹의 전술, 기술, 절차 (TTP)는 간단하고 효과적이었습니다. QakBot(QBot) 뱅킹 트로이목마와 협업해 네트워크를 매핑하고, 측면 이동해 결국 랜섬웨어를 배포하는데 성공합니다.
공격자는 처음 해킹에 성공한 후 파일 암호화 루틴을 실행하기 까지 네트워크에서 약 한 달 동안 상주하며 타깃에 대한 정보 및 데이터를(Rclone 사용) 수집합니다.
공격의 마지막 단계는 타깃 네트워크에서 ProLock 네트워크를 실행하는 것 입니다. 보통 QakBot을 전달하는 무기화된 VBScript 또는 오피스 문서를 첨부한 스피어 피싱 이메일을 통해 공격이 시작되며, 종종 하이재킹한 이메일 스레드의 답장을 보내는 방식으로 전달됩니다.
Group-IB는 QakBot을 다운로드하는 VBScript의 사이즈는 약 40MB로 매우 크다고 밝혔습니다. 이는 사이즈가 큰 파일은 스캐닝하지 않는 보안 솔루션을 우회하기 위한 것으로 보입니다.
일단 타깃 호스트에 접근하면 QakBot은 지속성을 설정하고 윈도우 레지스트리를 수정하여 윈도우 디펜더의 제외 목록에 자신의 바이너리를 추가하여 활성화된 방어 수단이 이를 탐지하지 못하도록 합니다.
“또한 QakBot은 IP 주소, 호스트명, 도메인, 설치된 프로그램 목록 등 감염된 호스트에 대한 다양한 정보를 수집합니다. 이 정보 덕분에 공격자는 네트워크에 대한 기본적인 정보를 이해하고 악용에 성공한 후 어떤 활동을 할지 계획할 수 있습니다.” – Group-IB
공격자는 네트워크 내 다른 호스트에 뱅킹 트로이목마를 배포하기 위해 Bloodhound 및 ADFind와 같은 툴을 이용하여 환경을 프로파일링 합니다. 일부의 경우 이 작업은 PsExec을 통해 수동으로 이루어져 ProLock과 QakBot 운영자가 밀접한 관계가 있음을 시사합니다.
이들은 원격 데스크톱(RDP)를 통해 측면 이동 했으며, RDP 사용이 불가능한 경우 PsExec을 통해 배치 스크립트를 실행해 원격 연결을 활성화 했습니다.
<이미지 출처: https://www.bleepingcomputer.com/news/security/prolock-ransomware-increases-payment-demand-and-victim-count/>
ProLock 툴킷은 악용 후 사용하기 위한 침투 테스터 툴인 Mimikatz를 포함하고 있었습니다. 이는 Cobalt Strike 소프트웨어를 통해 배포되었습니다.
Group-IB는 랜섬웨어 공격자가 해킹된 시스템에서 권한을 상승시키기 위해 가끔 윈도우의 취약점(CVE-2019-0859)을 악용한다는 사실을 발견했습니다.
보고서에 따르면, 이 랜섬웨어는 QakBot을 통해 호스트에 도달하며, 공격자의 서버에서 BITS(Background Intelligent Transfer Service)와 함께 다운로드 되거나 WMIC(Windows Management Instrumentation)을 통해 원격 호스트에서 스크립트를 실행하는 방식을 사용합니다.
이런 표준 도구를 사용함에도 불구하고 ProLock은 네트워크에서 탐지되지 않은 채 남아있어 파일 암호화 단계를 준비하고 데이터를 훔칠 수 있는 시간을 벌 수 있었습니다.
최근 ProLock 공격자들의 공격이 강화되어 FBI는 올해에만 이 랜섬웨어에 대한 긴급 경보 2건을 발표했습니다. [1, 2] FBI의 첫 번째 경보에서는 ProLock의 복호화 툴이 항상 제대로 동작하는 것은 아니기 때문에 데이터가 손실될 수 있다고 경고했습니다.
Group-IB는 고객들 중 실제로 돈을 지불한 사례가 없었기 때문에 위의 사실을 직접 확인할 수는 없었다고 밝혔습니다.
출처:
TLS 연결을 복호화하는 새로운 Racoon 공격 발견 (0) | 2020.09.14 |
---|---|
Razer 데이터 유출 사고 발생, 고객 개인정보 노출돼 (0) | 2020.09.14 |
새로운 CDRThief 악성코드, 리눅스 소프트스위치에서 VoIP 메타데이터 훔쳐 (0) | 2020.09.11 |
지난 10년 동안 미국의 의료 기록 2.3억건 도난 및 분실돼 (0) | 2020.09.10 |
공격자가 블루투스 인증 키를 덮어쓰도록 허용하는 BLURtooth 취약점 발견 (0) | 2020.09.10 |
댓글 영역