상세 컨텐츠

본문 제목

새로운 Rust 기반 랜섬웨어인 BlackCat, 실제 공격에서 발견돼

국내외 보안동향

by 알약4 2021. 12. 13. 14:00

본문

BlackCat: A New Rust-based Ransomware Malware Spotted in the Wild

 

최초의 Rust 언어 기반 랜섬웨어 변종이 지난 달 활동을 시작해 실제 공격을 통해 이미 여러 국가에서 피해자를 발생시킨 것으로 나타났습니다.

 

이 랜섬웨어의 이름은 BlackCat으로, MalwareHunterTeam이 발견해 공개했습니다.

 

연구원들은 트위터를 통해 아래와 같이 설명했습니다.

 

"피해자는 비트코인이나 모네로로 랜섬머니를 지불할 수 있습니다."

 

"또한 이들은 협상을 위해 중개자에게 크리덴셜을 제공하는 것으로 보입니다."

 

 

<이미지 출처 : https://thehackernews.com/2021/12/blackcat-new-rust-based-ransomware.html>

 

 

BlackCat은 이전에 등장한 많은 다른 변종과 유사하게 서비스형 랜섬웨어(RaaS: ransomware-as-a-service)의 형식을 따릅니다. 코어 개발자는 기업 환경에 침투해 파일을 암호화하는 작업을 대신해줄 파트너를 모집하여 공격을 수행합니다. 하지만 기업이 돈을 지불하기를 거절할 경우 이들은 데이터를 훔쳐 이를 이용하여 협박하거나, 또는 외부에 유출할 위험이 있습니다.

 

보안 연구원인 Michael Gillespie는 이를 "매우 정교한 랜섬웨어"라 언급했습니다.

 

한국의 사이버보안업체인 S2WBlackCat을 분석 결과 해당 랜섬웨어가 다른 서비스형 랜섬웨어(RaaS) 프로그램과 마찬가지로 내부 구성을 참고하여 악성 공격을 수행하고 있었으며, DarkSide의 활동이 종료된 후 발견된 BlackMatter와 유사하게 11월 초에만 활동을 종료한다고 밝혔습니다.

 

 

<이미지 출처 : https://medium.com/s2wlab/blackcat-new-rust-based-ransomware-borrowing-blackmatters-configuration-31c8d330a809>

 

 

랜섬웨어 그룹은 지하에 숨어 새로운 이름을 사용하여 다시 그룹을 편성해 재등장하는 것이 일반적이지만, 연구원들은 사용된 프로그래밍 언어(Rust / C++), 수 많은 실행 옵션, 공격자가 유지 관리하는 다크 웹 인프라의 차이점을 들어 BlackCatBlackMatter의 리브랜딩이라 부르기는 어려울 것이라 밝혔습니다.

 

2021 12 4일부터 XSS Exploit과 같은 러시아어 언더그라운드 마켓에서 "alphv"라는 사용자가 BlackCat을 광고하고 있었습니다. 이들은 이를 차세대 랜섬웨어라 공개하며 침투 테스터를 포함한 파트너들을 모집하고 있었습니다.

 

또한 랜섬웨어 공격자는 또한 Onion 도메인 5개를 운영하고 있는 것으로 알려졌으며, 이 중 3개는 그룹의 협상 사이트 역할을 하고 나머지는 "Alphv" 공개 누출 사이트와 비공개 누출 사이트로 분류됩니다.

 

지금까지 확인된 피해자는 2명으로, 초기 랜섬웨어가 기업을 노린 실제 공격에 적극적으로 배포되고 있음을 알 수 있습니다.

 

연구원들은 이에 대해 아래와 같이 밝혔습니다.

 

"BlackCat 랜섬웨어와 Alphv 유출 사이트에 대한 정보가 트위터에 공개된 후, 두 피해자의 모든 정보를 삭제하고 Alphv 유출 사이트에 경고 메시지를 추가했습니다.”

 

이를 통해 더욱 많은 공격자가 Dlang, Go, Nim, Rust와 같이 비교적 덜 알려진 프로그래밍 언어를 채택해 보안 장치를 우회하고, 분석을 회피하고, 리버스 엔지니어링을 방해하려 시도하는 것을 알 수 있습니다.

 

 

 

 

출처:

https://thehackernews.com/2021/12/blackcat-new-rust-based-ransomware.html

https://medium.com/s2wlab/blackcat-new-rust-based-ransomware-borrowing-blackmatters-configuration-31c8d330a809

관련글 더보기

댓글 영역