상세 컨텐츠

본문 제목

Sabbath 랜섬웨어, 미국과 캐나다의 주요 인프라 노려

국내외 보안동향

by 알약4 2021. 12. 2. 09:00

본문

Sabbath Ransomware target critical infrastructure in the US and Canada

 

Sabbath(UNC2190로도 알려짐)라고 하는 새로운 랜섬웨어 그룹이 2021 6월부터 미국과 캐나다의 주요 인프라를 노리고 있는 것으로 나타났습니다.

 

Mandiant 연구원은 이 그룹이 Arcane and Eruption 그룹이 리브랜딩한 것이라 밝혔습니다.

 

연구원들은 또한 이 그룹이 작년에 ROLLCOAST 랜섬웨어를 배포했다고도 밝혔습니다.

 

2021 9, 보안 전문가들은 exploit.in 해킹 포럼에서 새로운 랜섬웨어의 파트너를 구인하는 게시물을 발견했습니다. 54BB47h(Sabbath)라는 새 그룹의 활동은 운영자가 사이트 및 블로그를 개설한 2021 10 21일 시작되었습니다.

 

지난 10월 이 랜섬웨어 그룹은 미국의 한 학군에서 시스템을 감염시키고 랜섬머니로 수백만 달러를 요구했습니다.

 

 

<이미지 출처 : https://www.mandiant.com/resources/sabbath-ransomware-affiliate>

 

 

다른 랜섬웨어와는 달리, Sabbath 운영자는 사전 구성된 Cobalt Strike BEACON 백도어 페이로드를 파트너들에게 제공했습니다.

 

Mandiant는 아래와 같이 밝혔습니다.

 

“대부분의 다른 제휴 프로그램과 달리, 이 랜섬웨어 운영자는 두 가지 사례에서 파트너들에 사전 구성된 Cobalt Strike BEACON 백도어 페이로드를 제공한 것이 발견되었습니다. 랜섬웨어 침입에 BEACON을 사용하는 것은 일반적이지만, 랜섬 프로그램 운영자가 BEACON을 제공하는 것은 이례적인 일입니다.”

 

Sabbath 랜섬웨어는 미국과 캐나다의 교육, 보건, 천연 자원을 포함한 주요 인프라를 노렸습니다.

 

2020 7, UNC2190 공격자는 ROLLCOAST 랜섬웨어를 배포했으며 당시 ‘Eruption’이라는 브랜드를 사용했습니다. Mandiant 연구원들은 2021년에 동일한 랜섬웨어가 사용되었다는 증거를 찾지 못했습니다.

 

ROLLCOAST 랜섬웨어는 메모리에서 실행되고 시스템 언어를 확인해 러시아 및 기타 독립 국가 연합 회원국은 감염시키지 않습니다.

 

또한 ROLLCOAST는 암호화를 위해 GCM 모드에서 AES를 사용하고 무시하는 디렉토리, 파일, 확장자 ".lolz"가 겹쳐 Tycoon 랜섬웨어와의 유사성을 보여줍니다.

 

2021년에는 Sabbath Arcane 랜섬웨어 제휴 서비스의 BEACON 샘플 및 인프라가 변경되지 않았습니다. Mandiant는 랜섬웨어 운영자가 Themida 패커를 사용하여 UNC2190 BEACON 멀웨어를 압축하고 탐지를 피하고 있음을 발견했습니다.

 

"UNC2190은 덜 알려져 있고 더 작은 랜섬웨어 그룹이지만, 작은 규모와 반복적인 브랜드 변경으로 조사를 피할 수 있었습니다.”

 

“UNC2190은 상용 패커 도입과 서비스 브랜드 변경을 포함해 전략 및 툴을 약간씩만 변경하며 지난 1년 동안 계속해서 운영되어왔습니다. 이로써 비교적 덜 알려진 그룹이 BEACON과 같은 잘 알려진 도구를 활용하는 경우에도 영향력 및 수익성 있는 사건으로 이어질 수 있음을 알 수 있습니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/125154/cyber-crime/sabbath-ransomware.html

https://www.mandiant.com/resources/sabbath-ransomware-affiliate (IOC)

관련글 더보기

댓글 영역