BlackCat 랜섬웨어, 패치되지 않은 마이크로소프트 익스체인지 서버 노려

BlackCat Ransomware affiliates target unpatched Microsoft Exchange servers

 

마이크로소프트 연구원들이 BlackCat 랜섬웨어가 패치되지 않은 익스체인지 서버를 공격해 전 세계의 조직을 해킹하고 있다고 밝혔습니다.

 

공격자는 익스체인지 서버를 해킹해 타깃 네트워크에 액세스하고 내부 정찰 및 측면 이동 활동을 수행하고 암호화하기 전에 민감한 문서를 훔칠 수 있었습니다.

 

마이크로소프트는 관련하여 아래와 같이 밝혔습니다.

 

"보통 원격 데스크톱 애플리케이션 및 훔친 크리덴셜을 진입 벡터로 사용하지만, 이 공격자는 익스체인지 서버 내 취약점을 악용하여 대상 네트워크에 접근하는 것을 발견했습니다. 또한 적어도 두 알려진 파트너인 DEV-0237(이전에 Ryuk, Conti, Hive 배포), DEV-0504(이전에 Ryuk, REvil, BlackMatter, Conti 배포)가 현재 BlackCat을 배포하고 있습니다.”

 

 

<이미지 출처 : https://www.microsoft.com/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/>

 

 

마이크로소프트에서 관찰한 공격 중 하나에서, 공격자는 초기 침해 후 2.5일이 지난 후에야 측면 이동을 시작했습니다.

 

랜섬웨어 운영자는 초기 정찰 중 발견한 타깃 장치 중 하나에 대화형 로그인을 통해 훔친 크리덴셜을 사용하여 로그인했습니다.

 

이후 쉽게 탐지되지 않기 위해 Mimikatz와 같은 툴을 사용하는 것이 아닌 크리덴셜 도용을 택했습니다.

 

공격자는 Taskmgr.exe를 통해 LSASS.exe 프로세스의 덤프 파일을 생성하고 파일을 ZIP 압축파일에 저장했습니다.

 

AD(Active Directory) 환경에 대한 광범위한 정보를 수집하도록 설계된 툴인 ADRecon(ADRecon.ps1)의 PowerShell 스크립트 버전을 사용하여 검색 단계를 계속해서 진행합니다.

 

이후 공격자는 SMB(서버 메시지 블록) 및 RDP(원격 데스크톱 프로토콜)를 통해 장치 연결을 시도합니다.

 

"발견된 장치의 경우 공격자는 다양한 네트워크 공유로 이동하려고 시도했으며 원격 데스크톱 클라이언트(mstsc.exe)를 통해 해당 장치에 로그인했으며, 다시 한번 훔친 크리덴셜을 사용했습니다."

 

"공격자가 조직 전체의 수많은 장치에 로그인하고 크리덴셜을 덤프하고 접근이 가능한 장치를 알아내는 등 이러한 행동은 며칠 동안 계속되었습니다.”

 

BlackCat 랜섬웨어 운영자는 데이터를 유출시키기 위해 MEGAsync와 Rclone을 모두 사용했으며, 의심을 피하기 위해 정식 윈도우 프로세스 이름(예: winlogon.exe, mstsc.exe)으로 변경했습니다.

 

랜섬웨어 페이로드는 초기 해킹 후 2주가 지나면 배포되며, 공격자는 가끔 PsExec.exe를 사용하여 페이로드를 배포합니다.

 

ALPHA/BlackCat그룹은 최소 2021년 12월부터 활동해 왔습니다. ALPHA/BlackCat은 Rust 프로그래밍 언어로 작성된 최초의 랜섬웨어 변종입니다.

 

BlackCat은 Windows, Linux, VMWare ESXi 시스템을 공격하는 것이 가능하지만 현재는 피해자 수가 적습니다. 악성코드 연구원인 Michael Gillespie는 BlackCat 랜섬웨어가 “매우 정교하다”고 설명했습니다.

 

Recorded Future의 전문가들은 ALPHV로 알려진 BlackCat 랜섬웨어의 제작자가 이전에 REvil 랜섬웨어 작업에 참여한 적이 있을 것이라 추측했습니다.

 

ALPHV는 12월 초부터 사이버 범죄 포럼인 XSS 및 Exploit에서 BlackCat 서비스형 랜섬웨어(RaaS)를 홍보해 왔습니다.

 

다른 랜섬웨어 그룹과 마찬가지로 이 그룹 또한 이중 갈취 모델을 구현하여 피해자가 비용을 지불하지 않을 경우 도난당한 데이터를 유출하겠다고 협박합니다.

 

최근 ALPHV/BlackCat 랜섬웨어 그룹은 피해자가 랜섬머니를 지불하도록 협박하기 위한 새로운 전략을 사용하기 시작했습니다.

 

이들은 피해자를 협박하기 위해 피해자의 데이터를 공개 웹사이트에 게시하기 시작했습니다.

 

데이터를 온라인에 게시할 경우 검색 엔진에서 데이터를 인덱싱할 수 있기 때문에 도난당한 데이터의 공개될 확률이 증가하므로 피해자가 받을 잠재적 영향이 증가하게 됩니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/132343/hacking/blackcat-ransomware-targets-unpatched-microsoft-exchange.html

https://www.microsoft.com/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/