분석 정보/랜섬웨어 분석 정보

랜섬 카르텔 분석 보고서

TACHYON & ISARC 2021. 4. 27. 17:30

 

4월 초, 보안 업체 Analyst1이 랜섬 카르텔 분석 보고서인 “RANSOM MAFIA. ANALYSIS OF THE WORLD’S FIRST RANSOMWARE CARTEL”을 공개했다.

 

Analyst1이 발표한 보고서에 따르면 랜섬 카르텔에 포함된 조직은 5개로 Twisted Spider, Viking Spider, Wizard Spider, Lockbit Gang Suncrypt Gang이 포함돼 있다. 이 중 “SunCrypt” 랜섬웨어를 사용하는 Suncrypt Gang은 현재 활동하지 않는다.

 

[그림 1] 랜섬 카르텔 분류

(출처 : Analyst1 - RANSOM MAFIA. ANALYSIS OF THE WORLD’S FIRST RANSOMWARE CARTEL)

 

 

[그림 2]는 랜섬웨어 조직 및 카르텔 형성과 관련한 타임라인이다. 2018 8월에 가장 먼저 Wizard Spider “Ryuk” 랜섬웨어를 사용하며 활동을 시작했고 그 뒤로 Twisted Spider 등의 조직이 등장했다. 2020 6월에는 “Maze” 랜섬웨어를 사용하던 Twisted Spider를 기준으로 카르텔을 형성하며 개별 조직들이 하나둘씩 합류해 활동 중인 것으로 알려졌다.

 

[그림 2] 랜섬 카르텔 타임라인

 

(출처 : Analyst1 - RANSOM MAFIA. ANALYSIS OF THE WORLD’S FIRST RANSOMWARE CARTEL)

 

 

Twisted Spider

2019 10월부터 활동을 시작한 것으로 알려진 Twisted Spider는 주로 “Egregor” “Maze” 랜섬웨어를 사용한다. 랜섬웨어 공격 이후에는 자체적으로 데이터 유출 사이트를 운영하여 탈취한 데이터를 빌미로 감염된 컴퓨터의 사용자에게 랜섬머니를 요구하는 특징이 있다.

 

[표 1] Twisted Spider 특징

 

해당 조직은 2019 10월부터 "Maze" 랜섬웨어를 사용해 금품을 갈취하다가 2020 9월부터는 "Egregor" 랜섬웨어를 사용하기 시작했다. 이들은 "Egregor" 랜섬웨어를 사용하며 기존에 사용하던 랜섬웨어의 활동을 줄여나갔고, 2달 뒤인 11월에 "Maze" 랜섬웨어의 활동 중단을 발표했다. 이후, 2021 2월에 조직 구성원 일부가 체포돼 “Egregor” 랜섬웨어 데이터 유출 사이트의 운영이 잠시 중단된 상태다.

 

[표 2] Twisted Spider가 사용하는 랜섬웨어 특징

 

[그림 3] Twisted Spider 조직의 공격 흐름도이며 다음과 같이 진행된다.

 

[그림 3] Twisted Spider 공격 흐름도

(출처 : Analyst1 - RANSOM MAFIA. ANALYSIS OF THE WORLD’S FIRST RANSOMWARE CARTEL)

 

1. 공격 대상에게 피싱 이메일을 보내 첨부된 악성 문서를 다운로드 받도록 유도하고, 해당 문서가 실행되면 추가 페이로드 실행을 위한 악성코드를 다운로드 받는다.

2. CobaltStrike를 다운로드한 후 계정 정보 탈취 도구인 Mimikatz를 실행하여 자격 증명을 수집한다.

3. 로컬 파일 관리 도구인 RClone을 다운로드하여 감염된 컴퓨터에서 데이터를 복사하고 C&C 서버로 전송한다.

4. 공격자는 공격 대상 컴퓨터에서 관리자 권한을 획득한 후, Active Directory에 접근하여 윈도우 방화벽을 비활성화한다.

5. 공격 대상 컴퓨터에서 볼륨 섀도우 복사본을 삭제하는 배치 파일을 실행하여 복구 기능을 무력화한다.

6. 공격자는 “Egregor” 랜섬웨어를 배포하여 사용자 컴퓨터를 감염하고 파일 복구를 위한 랜섬머니를 요구한다.

 

아래 [그림 4] “Egregor” 랜섬웨어 운영진이 직접 운영하는 데이터 유출 사이트이며 2020 2월 이후 해당 사이트의 운영이 중단됐다.

 

[그림 4] Egregor 랜섬웨어 데이터 유출 사이트

 

 

Viking Spider

2019 12월부터 활동을 시작한 것으로 알려진 Viking Spider “Ragnar Locker” 랜섬웨어를 사용해 피해자에게서 금전을 획득한다. 해당 랜섬웨어에 감염되면 확장자가 “.ragnar_[사용자_ID]”로 변경되고 확장자와 동일한 이름의 랜섬노트가 생성된다.

 

[표 3] Viking Spider 특징

 

[그림 5] Viking Spider 조직의 공격 흐름도이며 다음과 같이 진행된다.

 

[그림 5] Viking Spider 공격 흐름도

(출처 : Analyst1 - RANSOM MAFIA. ANALYSIS OF THE WORLD’S FIRST RANSOMWARE CARTEL)

 

1. 사용자가 피싱 이메일에 첨부된 문서 파일을 다운로드 및 실행하도록 유도한다.

2. 파워쉘 명령을 사용해 CobaltStrike를 다운로드한 후계정 정보 탈취 도구인 Mimikatz를 실행하여 자격 증명을 수집한다.

3. CobaltStrike에서 네트워크 드라이브 식별을 위한 배치파일을 다운로드 및 실행하여 연결된 네트워크 드라이브 정보를 획득한다.

4. CobaltStrike에서 VirtualBox RagnarLocker 랜섬웨어를 실행할 Windows XP 기반 가상 머신을 설치하는 MSI 파일을 다운로드 받아 공격 대상 컴퓨터에서 실행한다.

5. 새로 설치한 가상 환경에서 보안 서비스를 비활성화하고 네트워크 드라이브를 연결한 후 “RagnarLocker” 랜섬웨어를 실행한다.

6. 공격자는 네트워크 드라이브에서 탈취한 정보를 C&C 서버로 전송하고 이를 빌미로 파일 복구를 위한 랜섬머니를 요구한다.

 

아래 [그림 6] RagnarLocker 랜섬웨어 운영진이 직접 운영하는 데이터 유출 사이트이다.

 

[그림 5] Viking Spider 공격 흐름도

 

 

Wizard Spider

2018 8월부터 활동을 시작한 것으로 알려진 Wizard Spider는 주로 “Conti” “Ryuk” 랜섬웨어를 사용해 사용자에게서 금전을 획득한다. 이들은 공격 대상에 접근한 후, 정보 탈취 또는 추가 페이로드 전달을 위해 “TrickBot”, “Barzar Backdoor” 등의 악성코드를 추가로 사용하며, 공격 이후에는 자체적으로 데이터 유출 사이트를 운영하여 탈취한 데이터를 빌미로 랜섬머니를 요구한다.

 

[표 4] Wizard Spider 특징

 

Wizard Spider가 사용하는 “Ryuk” 랜섬웨어는 “Hermes” 랜섬웨어로부터 파생된 것으로 알려졌다. “Ryuk” 랜섬웨어가 등장한 지 1년 반 뒤, Wizard Spider 조직은 “Conti” 랜섬웨어를 사용하기 시작했고 이 시기에 “Ryuk” 랜섬웨어의 활동이 잠시 감소했다. 이후 2021 2월 전원이 꺼진 장치의 전원을 켤 수 있는 Wake-on-LAN 기술을 적용한 “Ryuk” 랜섬웨어의 변종이 등장하며 활동을 이어나가고 있다.

 

[표 5] Wizard Spider가 사용하는 랜섬웨어 특징

 

 [그림 7] Wizard Spider 그룹에서 “Ryuk” 랜섬웨어를 사용한 공격 흐름도이며 다음과 같이 진행된다.

 

[그림 7] Wizard Spider의 Ryuk 랜섬웨어를 공격 흐름도

(출처 : Analyst1 - RANSOM MAFIA. ANALYSIS OF THE WORLD’S FIRST RANSOMWARE CARTEL)

 

1. 악성 URL이 포함된 피싱 이메일을 보내 사용자가 링크를 클릭하도록 유도한다.

2. 사용자가 링크를 클릭하면 “Emotet” 악성코드가 다운로드 및 실행되고, CobaltStrike 다운로드를 위한 파워쉘 스크립트를 실행한다.

3. “Emotet” 악성코드는 “TrickBot”을 다운로드하여 실행하고 스케줄러를 등록하여 지속성을 확보한다.

4. 공격자는 감염된 컴퓨터에서 CobaltStrike를 사용해 사용자 및 Active Directory 도메인 정보 등을 수집하여 공격자의 C&C 서버로 전송하고, Mimikatz를 다운로드 받아 자격증명을 탈취한다.

5. 관리자 권한을 획득한 후볼륨 섀도우 복사본을 삭제하는 배치 파일을 다운로드 받아 실행한다.

6. “Trickbot” 악성코드에서 “Ryuk” 랜섬웨어 페이로드를 다운로드하여 사용자 컴퓨터를 감염한다.

7. “Ryuk” 랜섬웨어는 wake-on-LAN 기능을 사용해 전원이 꺼진 장치의 감염이 가능하며감염이 완료되면 랜섬 노트를 생성하여 감염 사실 및 랜섬 머니 지불을 위한 경로를 알린다.

 

[그림 8]은 Wizard Spider 조직에서 “Conti” 랜섬웨어를 사용한 공격 흐름도이며 다음과 같이 진행된다.

 

[그림 8] Wizard Spider의 Conti 랜섬웨어를 사용한 공격 흐름도

(출처 : Analyst1 - RANSOM MAFIA. ANALYSIS OF THE WORLD’S FIRST RANSOMWARE CARTEL)

 

1. 피싱 메일을 보내 사용자가 악성코드 다운로드를 위한 Google Drive URL을 클릭하도록 유도한다.

2. 링크를 클릭하여 다운로드 받은 “Bazar Backdoor” CobaltStrike를 감염된 컴퓨터에 다운로드한 후 실행한다.

3. CobaltStrike를 사용해 감염된 컴퓨터의 데이터를 수집한 후 공격자의 C&C 서버로 전송한다.

4. CobaltStrike에서 Mimikatz를 실행하여 감염된 컴퓨터의 자격증명을 획득한다.

5. 관리자 권한을 획득한 후감염된 컴퓨터에서 복구 무력화를 위한 배치 파일을 실행한다.

6. 감염된 컴퓨터에서 “Conti” 랜섬웨어를 실행하여 파일을 암호화하고 피해자에게 랜섬 노트를 제공한다.

 

아래 [그림 9] “Conti” 랜섬웨어 운영진이 직접 운영하는 데이터 유출 사이트이다.

 

[그림 9] Conti 데이터 유출 사이트

 

 

Lockbit Gang

2019 12월부터 활동을 시작한 것으로 알려진 Lockbit Gang “LockBit” 랜섬웨어를 사용해 피해자에게서 금전을 획득하며, 사용자가 입력한 정보를 수집하기 위해 “Hakops Keylogger”도 사용한 것으로 알려졌다. 해당 랜섬웨어에 감염되면 파일 확장자가 “.lockbit” 또는 “.abcd”로 변경되고 “Restore-My-Files.txt”란 이름의 랜섬 노트가 생성된다.

 

[표 6] LockBit Gang 특징

 

 

[그림 10] Lockbit Gang의 그룹의 공격 흐름도이며 다음과 같이 진행된다.

 

[그림 10] Lockbit Gang 공격 흐름도

(출처 : Analyst1 - RANSOM MAFIA. ANALYSIS OF THE WORLD’S FIRST RANSOMWARE CARTEL)

 

1. 공격자는 패치가 되지 않은 VPN 소프트웨어의 취약점을 악용하여 도메인 관리자 계정에 대한 접근 권한을 획득한다.

2. 접근 권한을 획득한 후, 감염된 시스템에 “HAKOPS” 키로거를 설치하여 키 입력 등의 정보를 수집하고 이를 공격자가 만든 FTP 서버로 전송한다.

3. 스크립트를 실행하여 시스템 보안 서비스 비활성화, 볼륨 섀도우 복사본 삭제 및 “LockBit” 랜섬웨어를 실행한다.

4. 네트워크에 연결된 호스트를 검색한 후, 해당 호스트에서 악성 코드를 드롭하는 PNG 파일을 다운로드한다.

5. 네트워크에 연결된 호스트에서 “LockBit” 랜섬웨어를 실행하고 랜섬 노트를 생성한다.

 

아래 [그림 11] Lockbit 랜섬웨어 운영진이 직접 운영하는 데이터 유출 사이트이며 보고서 작성 시점에서는 접속되지 않는다.

 

[그림 11] LockBit 랜섬웨어 데이터 유출 사이트

(출처 : Analyst1 - RANSOM MAFIA. ANALYSIS OF THE WORLD’S FIRST RANSOMWARE CARTEL)

 

 

SunCrypt Gang

SunCrypt Gang 2019 10월부터 활동을 시작하여 약 1년간 활동한 후, 2020 10월에 활동을 중단했다. 이들 조직은 “SunCrypt” 랜섬웨어를 사용했으며 최초로 랜섬머니 지불 협박을 위해 DDoS 공격을 수행한 것으로 알려졌다.

 

[표 7] SunCrypt Gang 특징

 

[그림 12] SunCrypt Gang의 그룹의 공격 흐름도이며 다음과 같이 진행된다.

 

[그림 12] SunCrypt Gang 공격 흐름도

(출처 : Analyst1 - RANSOM MAFIA. ANALYSIS OF THE WORLD’S FIRST RANSOMWARE CARTEL)

 

1. 공격자는 악성 문서가 첨부된 메일을 보내 사용자가 해당 문서를 실행하도록 유도한다.

2. 사용자가 첨부된 문서를 다운로드 받아 실행하면 문서에 포함된 매크로를 통해 CobaltStrike를 다운로드한다.

3. 공격자는 CobaltStrike를 사용하여 감염된 컴퓨터의 데이터를 복사한 후 C&C 서버로 전송하고, Mimikatz를 다운로드하여 자격 증명을 획득한다.

4. 복구 무력화를 위한 Batch 스크립트를 다운로드 및 실행하여 볼륨 섀도우 복사본을 삭제한다.

5. 원격 명령어 실행 도구인 PSExec를 사용하여 “SunCrypt” 랜섬웨어를 실행하고 랜섬노트를 생성한다.

6. 공격자는 데이터 암호화 및 탈취 후 감염된 컴퓨터에 DDoS 공격을 수행하여 업무에 차질을 주고 랜섬머니를 지불하도록 압력을 가한다.

 

아래 [그림 13] “SunCrypt” 랜섬웨어 운영진이 직접 운영하는 데이터 유출 사이트이며, 활동 중단을 선언한 2020 10월 이후 아무런 정보도 게시되지 않았다.

 

[그림 13] SunCrypt 랜섬웨어 데이터 유출 사이트

 

작년 6월 이후 랜섬웨어 조직들이 랜섬 카르텔을 형성하며 서로의 전술, 데이터 유출 플랫폼 등을 공유하고 있다. 이들 조직은 꾸준히 기능이 추가된 랜섬웨어 변종을 만들며 활동하고 있지만 Analyst1에 따르면 수익 공유까지는 이뤄지지 않았다고 한다.

카르텔이 형성된 지 약 1년이 되어가는 시점에서 아직은 눈에 띄는 피해가 발생하지 않았다. 하지만 각 조직들끼리 정보를 공유하고 랜섬머니 획득을 위한 기술을 꾸준히 연구한다는 점에서 추후에 다수의 피해자 또는 대량의 피해가 발생할 수 있음으로 카르텔에 관한 지속적인 모니터링이 필요하다.