Sodinokibi 랜섬웨어 그룹, 피해자의 사업 파트너에게 전화하는 전략 추가해

 

 

Ransomware gang plans to call victim's business partners about attacks

 

Sodinokibi 랜섬웨어 운영자가 피해자가 랜섬머니를 지불하도록 협박하기 위해 DDoS 공격 및 언론인과 피해자의 사업 파트너에게 음성 전화를 진행할 것이라 공지했습니다.

 

Sodinokibi는 서비스형 랜섬웨어(RaaS)로 랜섬웨어 운영자가 악성코드 및 결제 사이트를 개발하고, 파트너들이 기업 네트워크를 해킹하여 랜섬웨어를 배포하는 방식을 사용합니다.

 

이 거래를 통해 Sodinokibi 개발자는 랜섬머니의 20%~30%를 가지고 파트너는 나머지 70~80%를 가져갑니다.

 

피해자가 랜섬머니를 지불하도록 압력을 가하기 위해, 랜섬웨어 운영자들은 피해자가 랜섬머니를 지불하지 않을 경우 그들이 훔친 암호화되지 않은 파일을 공개하겠다고 협박하는 ‘이중 협박' 전략을 사용하기 시작했습니다.

 

이제 VOIP 통화 및 DDoS 공격까지 실행할 예정

 

지난 2월, Sodinokibi 랜섬웨어는 DDoS 공격을 수행하고, 피해자 및 그들의 파트너에게 VOIP 전화를 사용하여 연락할 사람을 구하는 구인 공고를 게시했습니다.

 

그리고 오늘, 3xp0rt로 알려진 한 보안 전문가는 Sodinokibi가 랜섬웨어 파트너가 피해자를 더욱 압박하는데 사용할 수 있는 새로운 전략을 사용하기 시작했다고 밝혔습니다.

 

이 새로운 전략은 공격자, 협력 파트너가 음성 변환된 VOIP 전화를 통해 언론과 피해자의 사업 파트너에 공격 관련 정보를 알리는 무료 서비스를 포함합니다.

 

이 랜섬웨어 그룹은 기업들에게 공격 중 데이터가 노출된 사실을 파트너에게 알리겠다고 협박할 경우 피해자가 랜섬머니를 지불하도록 더 큰 압박을 줄 수 있을 것이라 생각한 것으로 보입니다.

 

또한 Sodinokibi는 제휴 파트너가 3 계층 및 7 계층 DDoS 공격을 수행할 수 있는 유료 서비스를 제공하고 있습니다.

 

 

<이미지 출처 : https://www.bleepingcomputer.com/news/security/ransomware-gang-plans-to-call-victims-business-partners-about-attacks/>

<Sodinokibi의 새로운 협박 기능을 알리는 공지>

 

 

3 계층 공격은 회사의 인터넷 연결을 중단시키는데 사용되며, 7 계층 공격을 통해 웹서버와 같이 공개적으로 접근이 가능한 애플리케이션을 중단시킬 수 있습니다.

 

지난 10월, SunCrypt와 Ragnar Locker 랜섬웨어 운영자는 피해자들이 랜섬머니를 지불하도록 압박하기 위해 DDoS 공격을 실행하기 시작했습니다. 2021년 1월, Avaddon 랜섬웨어 그룹 또한 이 전략을 사용하기 시작했습니다. 

 

피해자에게 VOIP 전화를 통해 협박하는 수법은 수 많은 랜섬웨어 작업에서 사용되었지만, Bleeping Computer 측에서는 아직까지 언론사나 피해자의 사업 파트너에게 전화한 사례는 없었다고 밝혔습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/ransomware-gang-plans-to-call-victims-business-partners-about-attacks/