[SoW] W2 Aug | KO | Story of the week: Ransomware on the Darkweb

Published in

S2W BLOG

15 min readAug 11, 2021

With contribution from Denise Dasom Kim, Jungyeon Lim, Yeonghyeon Jeong, Sujin Lim, Chaewon Moon | S2W TALON

THREE HEADED RANSOMWARE

SoW: Ransomware는 다크웹 내 랜섬웨어의 활동을 요약하는 보고서를 발행합니다. 본 보고서에는 주간 피해 기업 통계, 공격 대상 국가 TOP 5, 공격 대상 산업군 TOP 5, 다크웹 내에서 활동 중인 주요 랜섬웨어가 작성한 게시글 현황 등을 포함합니다.

요약

[통계] 7월 28일부터 8월 9일까지 2주 동안 랜섬웨어로 부터 피해를 당한 피해기업이 140건이 발견되었으며, 이 중 미국이 45.4%를 차지하였고 가장 활동이 활발했던 랜섬웨어 그룹은 전체 활동량의 49%를 차지한 LockBit 2.0으로 확인됨
[다크웹] Babuk으로 부터 분리된 Payloadbin과 RAMP
[다크웹] 같은 피해 기업 정보를 언급한 El_Cometa와 Payloadbin
[다크웹] 여러 포럼에서 적극적인 활동을 하고 있는 AvosLocker와 CryLock
[암호화폐] AvosLocker가 피해자로부터 입금 받은 비트코인을 추적한 결과, 자금 세탁 후에 자금을 바이낸스로 전송한 것으로 확인

1. 주간 통계

지난 2주 동안 업데이트가 있었던 17개의 공격 그룹을 기준으로 총 140개 피해 기업이 랜섬웨어 릭 사이트 상에서 언급됨
랜섬웨어 피해 기업의 HQ로 가장 많이 언급된 곳이 미국이며, 전체 피해 기업 중에서 45.4%를 차지하고 있음
전체 랜섬웨어 공격 그룹 중, LockBit의 활동량이 49%를 차지하였으며, 가장 많은 활동량을 보이고 있음

1.1. 공격 대상 국가 TOP 5

United States — 45.4%
Italy — 5.7%
Canada & United Kingdom — 4.3%
Australia & Brazil — 3.5%
Others — 2.1%

1.2. 공격 대상 산업군 TOP 5

IT — 15.0%
Financial — 8.6%
Manufacturer- 7.9%
Service — 6.4%
Construction — 5.0%

1.3. 랜섬웨어 활동 TOP 5

lockbit — 49.0%
conti — 23.5%
payloadbin — 13.7%
hive — 9.8%
Lv — 3.9%

2. 주간 다크웹 내 활동 중인 랜섬웨어 관련 주요 사건

2.1. 같지만 다른 세 쌍둥이 Babuk(a.k.a. Payload.bin / RAMP)

최근 Babuk 릭 사이트의 브랜드명은 Babuk → Payload.bin → RAMP로 3번의 변화를 겪었으며, 현재 3개의 브랜드 Babuk, Payload.bin, RAMP 가 동시에 Tor 네트워크에서 운영되고 있음
3개의 브랜드는 같은 도메인에서 파생되었지만 웹 사이트의 UI나 포함하고 있는 피해 기업 정보는 다름

2.2. El_Cometa(a.k.a. SynACK)과 Payloadbin 간의 유사성

SynACK의 리브랜딩으로 알려진 El_Cometa와 Payloadbin이 동일한 피해 기업을 언급하였으며, 공개한 피해 기업 관련 유출 파일이 동일한 것을 확인함
Payloadbin이 피해 기업 관련 유출 파일을 공개한 날에 Raidforums의 유저인 simple_dimple도 동일한 피해 기업을 언급하였고, 해당 사용자가 공개한 유출 파일 또한 El_Cometa와 Payloadbin이 공개한 유출 파일과 동일한 것을 확인함
simple_dimple 유저의 경우, Raidforums에서 2021년 7월 27일부터 활동을 시작하였으며 2021년 8월 6일에 첫 포스트를 게시함

동일한 독일 제조업체 관련 유출 파일 공개

유출 파일 정보

Payloadbin은 릭 사이트가 없는 랜섬웨어 공격 그룹을 대신해서 유출 자료를 업로드 해주겠다는 내용을 과거에 Babuk에서 Payloadbin으로 리브랜딩하기 전에 언급함

W1 Jun | KR | Story of the week: Ransomware on the Darkweb — B. Babuk ransomware rebranded as Payload[.]bin

2.3. AvosLocker

2.3.1. What is AvosLocker?

2021년 7월, AvosLocker는 딥웹에서 Pentester와의 제휴 프로그램에 대한 홍보를 게시하기 시작하면서 알려졌음

기업 뿐만 아니라 개인을 대상으로도 공격 활동을 하고 있으며, “.avos” 확장자명으로 피해 기업의 파일을 암호화함과 동시에 Azorult 스틸러를 감염된 호스트에 설치하여 브라우저에 저장되어 있는 크리덴셜을 탈취함

https://www.bleepingcomputer.com/forums/t/754311/ramsomware-attack-avoslocker/

현재까지 알려진 침투 경로는 악성코드가 포함된 피싱 이메일을 통한 침투로 확인됨

피싱 이메일의 경우, 주로 FedEx, 결제 요청 및 특정 기업의 official letter를 사칭하고 있음

감염된 PC에서 암호화를 수행하는 과정을 커맨드 라인으로 출력하는 특징이 있음

AvosLocker 운영자로 추정되는 Avos 유저의 다크웹 포럼 내 활동 이력

다크웹 포럼 내 파트너(Pentester 및 Broker) 모집 공고

Pentesters with experience in Active Directory networks.
Access brokers

Affiliates 모집 공고

2.3.2. 최근 AvosLocker에 감염된 피해 기업 사례 분석

모 기업이 AvosLocker에 감염되어 데이터가 암호화 및 유출된 사례가 발생하였으며, 랜섬 노트에서 피해 기업 ID 와 협상 페이지를 안내하고 있음

협상 페이지에 해당 ID를 입력하면 피해 기업과 AvosLocker 간의 1:1 협상 페이지로 접속 가능

AvosLocker 와 피해 기업의 협상 내용

몇 차례 협상을 통해 피해기업 측이 AvosLocker에게 62,500 USD 금액을 제안하였음

AvosLocker는 Monero로 금액을 지불할 것을 요구했지만, 피해기업 측에서 자금 세탁 방지 법에 의해, 자기가 직장을 잃을 수 있다며 Monero는 지불하기 어렵다고 함

모네로로 지불 유도

AvosLocker는 자금 세탁 방지에 대한 법 KYC/AML은 입금보다 암호화폐 출금에 관한 것 이라며 Monero를 구매하고 사용하는 것 자체는 합법이라고 설명

또한 비트코인으로 지불하게 되면 10%의 추가 비용이 발생한다며 계속해서 Monero로 지불할 것을 계속해서 유도함

하지만 피해기업은 내부적으로 검토해 보았으나 Monero 지불은 불가능하다고 전달

이에 AvosLocker는 62,500 USD에 해당하는 Bitcoin을 받으면 자신들이 Monero로 바꿀 것이라고 함

지난 Suncrypt 피해 사례에 이어, 랜섬웨어와의 협상에서 자금 세탁 방지 법이 Monero 대신 비교적 추적이 쉬운 Bitcoin으로 지불을 유도하는 큰 역할을 하는 것으로 보임

피해기업은 AvosLocker에게 비용을 지불하면 릭 사이트에 공개되어 있는 유출 데이터를 모두 삭제해줄 것을 요청하였고, AvosLocker는 그렇게 할 것이라 답하며 비트코인 지불 주소를 전달함

Bitcoin payment address : 1QAjdC2oQGtWhienNWWid2N5v2uLKV6qUU

AvosLocker가 전달한 주소가 정상 주소인지 확인하기 위해 먼저 소액의 Bitcoin을 전송 후 AvosLocker에게 확인 요청을 함

Bitcoin payment address : 1QAjdC2oQGtWhienNWWid2N5v2uLKV6qUU
Payment date : 2021–07–27 00:57
Amounts : 0.0026 BTC

이에 AvosLocker는 약 $100에 해당하는 금액을 받았다고 피해기업 측에게 확인. 지갑 주소가 유효한 것을 확인한 피해기업은 62,500 USD에 해당하는 Bit coin 전액을 지불하였음.

Bitcoin payment address : 1QAjdC2oQGtWhienNWWid2N5v2uLKV6qUU
Payment date : 2021–07–27 19:34
Amounts : 1.62107015 BTC

AvosLocker는 금액 지불 확인 후, 피해기업에게 Decryptor를 전달한 다음에 자신들의 서버에서 피해기업의 데이터를 모두 삭제하여 협상을 마무리하였음

2.3.3. AvosLocker 비트코인 흐름 추적

Bitcoin payment address : 1QAjdC2oQGtWhienNWWid2N5v2uLKV6qUU
Transaction date : 2021–07–27 19:35
Amounts : 1.62107015 BTC

피해기업이 지불한 금액의 약 84%에 해당하는 금액은 몇 개의 주소를 거쳐 최종적으로 Binance 거래소 지갑으로 전송 됨

AvosLocker’s Binance bitcoin wallet : 16MoMBF2pQyq1xHWpU2QtdApSocWnkRdg4
Transaction date : 2021–07–30 06:18
Amounts : 1.4111839 BTC

나머지 약 16%에 해당하는 금액은 “bc1qrm32lv8lcg8keymxm0ee4f76xzrvys6rppm2dt” 주소로 옮긴 뒤 Binance, KuCoin 거래소로 전송되었음. 전체 금액이 두 개로 나누어진 비율을 보았을 때 84%는 AvosLocker Affiliate가, 16%는 운영자가 나눠 가진 것으로 추정됨

Affiliate’s Bitcoin Wallet : 3Mtt1UQi2jVu9kBqNgXSBGtSTksBDaQ6VC
Transaction date : 2021–07–27 21:05
Amounts : 0.2635915 BTC

피해기업과의 협상 채팅에서 AvosLocker는 비트코인을 Monero로 바꿀 것이라 했으나, 별도의 third-party 서비스를 사용하지 않고 Binance 거래소로 전송함. Binance 거래소를 통해 자금 추적이 힘든 Monero로 exchange 할 것으로 보임

2.3. Conti 랜섬웨어 공격 매뉴얼 유출

Conti의 파트너는 수익 배분에 불만이 생겨 랜섬웨어 공격에 사용되는 매뉴얼을 공개하였음. 외부에 공개되어 있는 정보, 오픈소스 도구, 취약점 정보 등을 취합하여 매뉴얼로 정리되어있는 형태임
유출된 파일의 목록은 아래와 같음

2.3.1. CobaltStrike MANUALS_V2 Active Directory.doc

이들이 수행하는 공격 절차는 CobaltStrike를 기반으로 여러 도구와 취약점을 활용

2.3.2. Conti 랜섬웨어 공격 매뉴얼에서 활용하는 취약점 트렌드

2021년 7월 1일에 공개된 CVE-2021–34527을 문서화하여 공격에 바로 사용한 것으로 보임

최신 취약점이지만 이미 많이 알려져있기 때문에 유효할 때까지 사용한다고 명시

2.3.3. 데이터 탈취 후, 최종 정찰 단계에서 활용하는 소셜 엔지니어링

AD서버의 데이터 탈취 이후에도 백업 서버, NAS 등을 찾고 데이터를 탈취하는 단계(최종 정찰)가 존재함. 이때 서버에 액세스 하기 위해 Admin Hunting을 수행함

Admin Hunting 이란, 공격자가 Admin 권한을 사용하기 위해 Admin 관련 크리덴셜 정보, 인프라 구성에 대한 정보를 탐색 및 탈취하는 과정을 말함

도메인 관리자 리스트를 확인 후 서비스 계정과 서비스 계정이 아닌 것을 분류한 후 특정 유저의 마지막 로그온 기록과 해당 유저가 속해있는 그룹들의 목록을 살펴보며 액세스 권한 유무를 확인함

위의 과정이 성공하지 못하더라도 경우 침투 타겟 회사의 링크드인을 통해 직원 중 System, Admin, Engineer, Network, IT와 관련된 사람을 찾은 후 adfind도구로 계정을 찾는데 활용함

2.4. 적극적으로 Pentester를 모집하고 있는 CryLock 랜섬웨어 운영자

해당 랜섬웨어 운영자는 러시아어 기반의 딥웹 포럼에서 CryLock 이름으로 활동 하고 있음

2.4.1. 협력자를 구하기 위한 활동

2021.03.25 — 랜섬웨어 운영자는 $300에 Cryptologist를 구인하는 글을 게시함
2021.06.15 — 구해지지 않았는지 다시 $500에 Crpytologist를 구인하는 글을 업데이트 함

Web coder & Designer 공고 게시

랜섬웨어 운영자는 6월 경 A포럼과 B포럼 두 곳에서 Web coder와 Designer를 구인하는 글을 게시함

2021.6.17 A포럼 Designer 공고

2021.6.16 B포럼 Web coder 공고

2021.6.11 A포럼 WIN 네트워크 침투 테스터 공고

2021.7.27 B포럼 WIN 네트워크 침투 테스터 공고

랜섬웨어 운영자는 A 포럼과 B 포럼 두 곳에서 7월 경 WIN 네트워크 침투 테스터 구인글을 게시함.

Cobalt Strike와 Metasploit에 숙련된 경험자를 요구하였으며, 급여는 10k$ 이상으로 제시함.

이후에도 (2021.7.21, 2021.7.27, 2021.8.2) 추가 댓글을 작성함

A, B 포럼에 게시물을 올리며 자신들과 함께 협업할 파트너들을 모집하는 것으로 추정됨

2.4.2. 피해 기업 탐색을 위한 활동 — (A포럼 / B포럼)

CryLock 랜섬웨어 운영자는 A포럼과 B포럼에서 각각 4월, 6월 경 기업의 citrix/vpn/rdp/RDWeb/pulse과 같은 네트워크 접근 권한을 구매하는 글을 게시함
그중에는 의료 분야, 학교, 대학 및 비영리 기관에 대한 정보는 구매하지 않는다고 하였으며 특정 조건을 가진 기업의 정보를 요구하였음

2021.6.20 A포럼 기업 네트워크 관련 접근 권한 구매글

2021.4.25 B포럼 기업 네트워크 관련 접근 권한 구매글

랜섬웨어 운영자는 A, B 포럼에 지속적으로 기업 네트워크 관련 접근 권한을 구매한다는 게시물을 올리며 자신들이 공격할 기업을 탐색하고 있는 것으로 추정됨

Conclusion

[비트코인 모니터링] 피해기업의 자금이 흘러들어간 AvosLocker의 Bitcoin 지갑 주소를 지속적으로 추적할 필요가 있음
[포럼 모니터링] CryLock 랜섬웨어 운영자가 계속해서 협력자를 구인함과 동시에 공격 대상을 확보하기 위한 접근 권한 구매 시도도 적극적으로 하고 있기 때문에 러시안 다크웹/딥웹 포럼을 지속적으로 모니터링할 필요가 있음
[공격 예측] 지난 2주 동안 발생한 피해기업의 수는 평소보다 많은 피해기업의 수를 보이고 있으며, Conti 랜섬웨어 공격 매뉴얼이 딥웹과 다크웹 상에 유출되면서 신규 또는 기존 랜섬웨어 공격 그룹의 활동량이 증가할 가능성이 있음
[공격 예측] 적극적으로 협력자를 구인하고 있는 CryLock 랜섬웨어 운영자의 활동량으로 보았을때 앞으로 CryLock 관련 피해기업의 수가 기존 랜섬웨어의 활동량에 비해 크게 증가할 가능성이 있음

Homepage: https://www.s2wlab.com
Facebook: https://www.facebook.com/S2WLAB/
Twitter: https://twitter.com/s2wlab