.gif)
랜섬웨어 조직 와해돼도 남은 인력들 재조직화
[보안뉴스 김형근 기자] 과거 악명을 떨쳤던 랜섬웨어 그룹 블랙바스타(BlackBasta) 잔당들이 ‘페이아웃킹’(Payouts King)이란 이름으로 갈아타고 사이버 범죄 활동을 벌이고 있다.
이들은 작년 4월 등장 이후 교묘하게 노출을 피한 채 데이터 탈취와 선택적 파일 암호화를 병행하는 공격을 지속해왔다.
[출처: Z스케일러]
보안 기업 지스케일러(Zscaler)는 이들이 사용하는 공격 기법이 과거 블랙바스타 수법과 일치한다는 점을 근거로 동일 세력이라고 판단했다.
공격자들은 대량 스팸을 보내고 IT 직원을 사칭해 MS 팀즈로 접근한 뒤, 원격 지원 도구를 악용해 시스템에 침투했다. 침투에 성공하면 민감한 데이터를 대량으로 빼돌리고, 4096비트 RSA 등 강력한 암호화 기술을 사용해 시스템을 마비시킨다.
대용량 파일은 13개 블록으로 나누어 부분적으로 암호화하는 최적화 방식을 통해 공격 속도를 끌어올렸다. 특정 매개변수가 입력돼야만 작동하는 안티-샌드박스 기능을 탑재, 보안 장비의 자동 탐지를 우회한다.
또 131개에 달하는 백신 및 보안 프로세스를 시스템 콜(System Call) 수준에서종료시켜 방어막을 무력화한다. 암호화 후엔 윈도우 섀도 복사본을 삭제하고 이벤트 로그를 지워, 사후 포렌식 조사를 방해한다.
지스케일러 보안 연구진은 이에 대응하기 위해 기업은 사회공학적 공격에 대한 교육을 강화하고, 다중인증(MFA) 도입 등 보안 체계를 가동해야 한다고 권고했다.
페이아웃킹의 등장은 랜섬웨어 조직이 와해되더라도 그들의 숙련된 범죄 기술과 인력은 사라지지 않고 더 강력한 형태로 재조직된다는 사실을 보여준다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] 과거 악명을 떨쳤던 랜섬웨어 그룹 블랙바스타(BlackBasta) 잔당들이 ‘페이아웃킹’(Payouts King)이란 이름으로 갈아타고 사이버 범죄 활동을 벌이고 있다.
이들은 작년 4월 등장 이후 교묘하게 노출을 피한 채 데이터 탈취와 선택적 파일 암호화를 병행하는 공격을 지속해왔다.
[출처: Z스케일러]
보안 기업 지스케일러(Zscaler)는 이들이 사용하는 공격 기법이 과거 블랙바스타 수법과 일치한다는 점을 근거로 동일 세력이라고 판단했다.
공격자들은 대량 스팸을 보내고 IT 직원을 사칭해 MS 팀즈로 접근한 뒤, 원격 지원 도구를 악용해 시스템에 침투했다. 침투에 성공하면 민감한 데이터를 대량으로 빼돌리고, 4096비트 RSA 등 강력한 암호화 기술을 사용해 시스템을 마비시킨다.
대용량 파일은 13개 블록으로 나누어 부분적으로 암호화하는 최적화 방식을 통해 공격 속도를 끌어올렸다. 특정 매개변수가 입력돼야만 작동하는 안티-샌드박스 기능을 탑재, 보안 장비의 자동 탐지를 우회한다.
또 131개에 달하는 백신 및 보안 프로세스를 시스템 콜(System Call) 수준에서종료시켜 방어막을 무력화한다. 암호화 후엔 윈도우 섀도 복사본을 삭제하고 이벤트 로그를 지워, 사후 포렌식 조사를 방해한다.
지스케일러 보안 연구진은 이에 대응하기 위해 기업은 사회공학적 공격에 대한 교육을 강화하고, 다중인증(MFA) 도입 등 보안 체계를 가동해야 한다고 권고했다.
페이아웃킹의 등장은 랜섬웨어 조직이 와해되더라도 그들의 숙련된 범죄 기술과 인력은 사라지지 않고 더 강력한 형태로 재조직된다는 사실을 보여준다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
