BlackCat: A New Rust-based Ransomware Malware Spotted in the Wild
최초의 Rust 언어 기반 랜섬웨어 변종이 지난 달 활동을 시작해 실제 공격을 통해 이미 여러 국가에서 피해자를 발생시킨 것으로 나타났습니다.
이 랜섬웨어의 이름은 BlackCat으로, MalwareHunterTeam이 발견해 공개했습니다.
연구원들은 트위터를 통해 아래와 같이 설명했습니다.
"피해자는 비트코인이나 모네로로 랜섬머니를 지불할 수 있습니다."
"또한 이들은 협상을 위해 중개자에게 크리덴셜을 제공하는 것으로 보입니다."
BlackCat은 이전에 등장한 많은 다른 변종과 유사하게 서비스형 랜섬웨어(RaaS: ransomware-as-a-service)의 형식을 따릅니다. 코어 개발자는 기업 환경에 침투해 파일을 암호화하는 작업을 대신해줄 파트너를 모집하여 공격을 수행합니다. 하지만 기업이 돈을 지불하기를 거절할 경우 이들은 데이터를 훔쳐 이를 이용하여 협박하거나, 또는 외부에 유출할 위험이 있습니다.
보안 연구원인 Michael Gillespie는 이를 "매우 정교한 랜섬웨어"라 언급했습니다.
한국의 사이버보안업체인 S2W가 BlackCat을 분석 결과 해당 랜섬웨어가 다른 서비스형 랜섬웨어(RaaS) 프로그램과 마찬가지로 내부 구성을 참고하여 악성 공격을 수행하고 있었으며, DarkSide의 활동이 종료된 후 발견된 BlackMatter와 유사하게 11월 초에만 활동을 종료한다고 밝혔습니다.
랜섬웨어 그룹은 지하에 숨어 새로운 이름을 사용하여 다시 그룹을 편성해 재등장하는 것이 일반적이지만, 연구원들은 사용된 프로그래밍 언어(Rust / C++), 수 많은 실행 옵션, 공격자가 유지 관리하는 다크 웹 인프라의 차이점을 들어 BlackCat이 BlackMatter의 리브랜딩이라 부르기는 어려울 것이라 밝혔습니다.
2021년 12월 4일부터 XSS 및 Exploit과 같은 러시아어 언더그라운드 마켓에서 "alphv"라는 사용자가 BlackCat을 광고하고 있었습니다. 이들은 이를 “차세대 랜섬웨어”라 공개하며 침투 테스터를 포함한 파트너들을 모집하고 있었습니다.
또한 랜섬웨어 공격자는 또한 Onion 도메인 5개를 운영하고 있는 것으로 알려졌으며, 이 중 3개는 그룹의 협상 사이트 역할을 하고 나머지는 "Alphv" 공개 누출 사이트와 비공개 누출 사이트로 분류됩니다.
지금까지 확인된 피해자는 2명으로, 초기 랜섬웨어가 기업을 노린 실제 공격에 적극적으로 배포되고 있음을 알 수 있습니다.
연구원들은 이에 대해 아래와 같이 밝혔습니다.
"BlackCat 랜섬웨어와 Alphv 유출 사이트에 대한 정보가 트위터에 공개된 후, 두 피해자의 모든 정보를 삭제하고 Alphv 유출 사이트에 경고 메시지를 추가했습니다.”
이를 통해 더욱 많은 공격자가 Dlang, Go, Nim, Rust와 같이 비교적 덜 알려진 프로그래밍 언어를 채택해 보안 장치를 우회하고, 분석을 회피하고, 리버스 엔지니어링을 방해하려 시도하는 것을 알 수 있습니다.
출처:
https://thehackernews.com/2021/12/blackcat-new-rust-based-ransomware.html
리눅스 봇넷 2개, 이미 Log4j의 Log4Shell 취약점 악용 중 (0) | 2021.12.14 |
---|---|
TinyNuke 인포 스틸링 악성코드, 프랑스 사용자들 노려 (0) | 2021.12.14 |
심각한 Log4j 보안 취약점, iCloud와 스팀을 포함한 전체 인터넷을 위험에 빠트려 (0) | 2021.12.13 |
Dark Mirai 봇넷, TP-Link 라우터의 RCE 취약점 통해 배포돼 (0) | 2021.12.10 |
[긴급] Apache Log4j 보안 취약점 대응 방안 안내 (0) | 2021.12.10 |
댓글 영역