RaaS 플랫폼 기반 이중 협박 전략 구사...3개월 만에 48개 조직 침해
[보안뉴스 김형근 기자] 고도화된 공격 능력과 체계적 운영 모델을 갖춘 새로운 랜섬웨어 그룹 ‘더 젠틀맨’(The Gentlemen)의 활동이 포착됐다.
보안 기업 사이버리즌에 따르면, 이들은 7월 처음 등장했고 9-10월 사이 다크웹 유출 사이트에 48개 피해 기업을 공개하며 심각한 위협으로 빠르게 자리잡았다.
젠틀맨은 서비스형 랜섬웨어(RaaS) 플랫폼으로 운영되며, 핵심 운영진이 인프라와 협상 프로세스를 통제하고 협력자들이 실제 공격을 실행한다.
[자료: 사이버리즌]
데이터 암호화 및 유출 이중 협박 전략 구사
이 그룹은 파일 암호화와 데이터 절취를 결합한 이중 협박 전략을 사용한다. 시스템 접근 차단 외에 훔친 정보를 공개하겠다고 협박해 피해자에게 추가 압력을 가한다.
운영진은 자체 RaaS 플랫폼을 출시하기 전 다른 유명 랜섬웨어 그룹의 사이버 범죄 협력 모델을 테스트해 가며 공격 방식을 정교하게 다듬었다.
사이버리즌 연구진은 원들은 이 랜섬웨어가 윈도우, 리눅스, ESXi 플랫폼을 표적으로 하는 특수 암호화 도구를 사용함을 확인했다.
이 악성코드는 XChaCha20 및 Curve25519 암호화 알고리즘을 사용해 파일을 암호화하며, 복호화 키 없이는 복구가 극히 어렵다. 최신 업데이트 버전엔 자동 재시작 기능과 부팅할 때 자동 실행되는 기능이 추가돼 침투한 시스템 내 지속성을 강화했다.
▲‘더 젠틀맨’ 다크웹 사이트 [자료: 사이버리즌]
네트워크 전파 및 회피 기술…횡적 이동 용이하게 만들어
젠틀맨은 윈도우관리도구(WMI)와 파워셸 원격 기술을 사용해 네트워크 전파를 시도한다. 실행되면 암호화 루틴 시작을 위해 비밀번호를 입력값으로 전달하는 방식을 말하는 패스워드 인자(password argument)를 요구한다.
이 악성코드 시스템 권한 수준의 암호화 및 매핑된 드라이브를 통한 네트워크 공유 암호화 등 여러 운영 모드를 지원한다.
또 파워셸 명령어를 실행해 윈도우 디펜더의 실시간 보호를 끄고, 디렉터리와 프로세스를 제외 목록에 추가해 방어를 무력화한다. 이와 함꼐 네트워크 검색 및 방화벽 규칙을 활성화해 기업 네트워크 내 측면 이동을 용이하게 한다.
주로 MSSQL, MySQL 같은 데이터베이스 엔진, 빔(Veeam)과 같은 백업 유틸리티, VM웨어 같은 가상화 서비스 등 핵심 서비스 및 프로세스를 표적으로 삼는다.
탐지 회피 및 포렌식 조사를 복잡하게 만들기 위해 윈도우 이벤트 로그와 RDP 연결 로그, 윈도우 디펜더 지원 파일, 프리페치(Prefetch) 데이터 등을 삭제하는 안티-포렌식 기법을 사용한다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] 고도화된 공격 능력과 체계적 운영 모델을 갖춘 새로운 랜섬웨어 그룹 ‘더 젠틀맨’(The Gentlemen)의 활동이 포착됐다.
보안 기업 사이버리즌에 따르면, 이들은 7월 처음 등장했고 9-10월 사이 다크웹 유출 사이트에 48개 피해 기업을 공개하며 심각한 위협으로 빠르게 자리잡았다.
젠틀맨은 서비스형 랜섬웨어(RaaS) 플랫폼으로 운영되며, 핵심 운영진이 인프라와 협상 프로세스를 통제하고 협력자들이 실제 공격을 실행한다.
[자료: 사이버리즌]
데이터 암호화 및 유출 이중 협박 전략 구사
이 그룹은 파일 암호화와 데이터 절취를 결합한 이중 협박 전략을 사용한다. 시스템 접근 차단 외에 훔친 정보를 공개하겠다고 협박해 피해자에게 추가 압력을 가한다.
운영진은 자체 RaaS 플랫폼을 출시하기 전 다른 유명 랜섬웨어 그룹의 사이버 범죄 협력 모델을 테스트해 가며 공격 방식을 정교하게 다듬었다.
사이버리즌 연구진은 원들은 이 랜섬웨어가 윈도우, 리눅스, ESXi 플랫폼을 표적으로 하는 특수 암호화 도구를 사용함을 확인했다.
이 악성코드는 XChaCha20 및 Curve25519 암호화 알고리즘을 사용해 파일을 암호화하며, 복호화 키 없이는 복구가 극히 어렵다. 최신 업데이트 버전엔 자동 재시작 기능과 부팅할 때 자동 실행되는 기능이 추가돼 침투한 시스템 내 지속성을 강화했다.
▲‘더 젠틀맨’ 다크웹 사이트 [자료: 사이버리즌]
네트워크 전파 및 회피 기술…횡적 이동 용이하게 만들어
젠틀맨은 윈도우관리도구(WMI)와 파워셸 원격 기술을 사용해 네트워크 전파를 시도한다. 실행되면 암호화 루틴 시작을 위해 비밀번호를 입력값으로 전달하는 방식을 말하는 패스워드 인자(password argument)를 요구한다.
이 악성코드 시스템 권한 수준의 암호화 및 매핑된 드라이브를 통한 네트워크 공유 암호화 등 여러 운영 모드를 지원한다.
또 파워셸 명령어를 실행해 윈도우 디펜더의 실시간 보호를 끄고, 디렉터리와 프로세스를 제외 목록에 추가해 방어를 무력화한다. 이와 함꼐 네트워크 검색 및 방화벽 규칙을 활성화해 기업 네트워크 내 측면 이동을 용이하게 한다.
주로 MSSQL, MySQL 같은 데이터베이스 엔진, 빔(Veeam)과 같은 백업 유틸리티, VM웨어 같은 가상화 서비스 등 핵심 서비스 및 프로세스를 표적으로 삼는다.
탐지 회피 및 포렌식 조사를 복잡하게 만들기 위해 윈도우 이벤트 로그와 RDP 연결 로그, 윈도우 디펜더 지원 파일, 프리페치(Prefetch) 데이터 등을 삭제하는 안티-포렌식 기법을 사용한다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
