[SoW] W5 July | KO | Story of the week: Ransomware on the Darkweb

With contribution from Denise Dasom Kim, Jungyeon Lim, Yeonghyeon Jeong, Sujin Lim | S2W LAB Talon

Reborn or Burned

SoW: Ransomware는 다크웹 내 랜섬웨어의 활동을 요약하는 보고서를 발행합니다. 본 보고서에는 주간 피해 기업 통계, 공격 대상 국가 TOP 5, 공격 대상 산업군 TOP 5, 다크웹 내에서 활동 중인 주요 랜섬웨어가 작성한 게시글 현황 등을 포함합니다.

요약

1. [통계] 7월 한달 동안 랜섬웨어로 부터 피해를 당한 피해기업이 150건이 발견되었으며, 이 중 미국이 38%를 차지하였고 가장 활동이 활발했던 랜섬웨어 그룹은 전체 활동량의 36.7%를 차지한 LockBit 2.0으로 확인됨
2. [암호화폐] LockBit 2.0의 지갑 주소를 추적한 결과, 피해 기업이 지불한 자금이 바이낸스 개인 Wallet으로 전송된 것으로 추정됨
3. [다크웹] 다시 돌아온 Ragnarok 랜섬웨어, 현재까지 8개의 피해 기업이 새로 발견됨
4. [다크웹] RAMP의 비공개 선언, 그리고 Babuk의 새로운 릭 사이트 도메인 등장
5. [다크웹] BlackMatter은 Darkside의 리브랜딩인가? 아니면 REvil의 리브랜딩인가?

1. 월간 통계

• 2021년 7월 1일부터 7월 27일까지 랜섬웨어 릭 사이트를 통해 확인된 피해 기업은 150 건이며, 피해 기업을 공개한 랜섬웨어 그룹은 18건으로 확인됨

1.1. 다크웹 내 랜섬웨어 피해 기업 현황 (07/01~07/27)

1.2. 공격 대상 국가 TOP 5

1. United States — 38.0%
2. United Kingdom — 8.7%
3. Germany & Australia — 4.7%
4. Turkey & Italy — 4.0%
5. Canada & France — 3.3%

1.3. 공격 대상 산업군 TOP 5

1. Service — 12.7%
2. IT — 10.0%
3. Law — 8.0%
4. Financial — 7.3%
5. Retail & Manufacturer — 6.0%

1.4. 랜섬웨어 활동 TOP 5

1. lockbit — 36.7%
2. CONTI — 14.3%
3. HIVE — 8.7%
4. Revil — 7.3%
5. crylock & avos & Marketo — 4.7%

2. 주간 다크웹 내 활동 중인 랜섬웨어 관련 주요 사건

2.1. LockBit 2.0 랜섬웨어에 감염된 피해 사례 분석

• 랜섬웨어에 감염되면 아래와 같은 Ransom note가 생성됨
• Lockbit 2.0 랜섬웨어의 경우 협상을 위해서 2개의 다크웹 채팅 페이지를 운영하고 있음

• Ransom note에는 피해자별 다른 Decryption ID 값이 생성되며, 이 값을 통해 채팅 페이지에 접속하여 1:1 협상을 이어감

2.1.1. LockBit 2.0 비트코인 지불 추적

• 랜섬웨어에 감염된 피해자와 LockBit 2.0 운영자의 채팅 기록을 통해 Bitcoin 입금 주소를 확인
• 랜섬웨어 운영자는 피해자에게 아래 주소로 비트코인을 입금할 것을 요구함

이에 피해자는 협상끝에 최종적으로 0.24993 BTC 을 지불

• Payment Address : bc1qwx9y37xd8sznjj0yw85q9fd9qfyaur9xasc2h4
• Transaction date : 2021–07–29 02:17
• Amounts : 0.24993

입금을 확인한 랜섬웨어 운영자는 약 78%에 해당하는 0.1798 BTC 을 아래 주소로 전송함

• Bitcoin Address : 15oTKZ1oQgvNtJyqF8MJ9mNqKiNEeu4skG
• Transaction date : 2021–07–29 05:01
• Amounts : 0.17982

해당 계좌의 99% 금액은 Binance Master Wallet으로 전송되는 점을 보아 LockBit 2.0 소유의 Binance 개인 Wallet으로 추측됨

2.1.2. 지속적인 모니터링이 필요한 LockBit 2.0 비트코인 주소

피해자가 지불한 금액의 약 19%에 해당하는 0.07012553 BTC은 아래 주소로 이동한 뒤 아직 변화가 없음

해당 계좌에 대한 모니터링이 필요해 보임

• Bitcoin Address : bc1qjhz2ewjp62rxn765cxts7lkfrdm7cazagl2l03
• Transaction date : 2021–07–29 05:01
• Amounts : 0.07 BTC

2.2. 비공개 블로그에 새로운 피해기업 정보를 업데이트한 Haron 랜섬웨어

• Avaddon과의 관계에 대해 이슈가 많은 Haron은 현재 지속적으로 피해기업을 업데이트 하고 있음
• 다만 큰 규모의 피해 기업이 많은 비중을 차지했던 Avaddon 과는 달리 대부분 작은 규모의 피해 기업이 Haron으로 부터 피해를 입은 상태임

2.2.1. 피해기업의 랜섬웨어 채팅 현황

• 첫 번째 피해기업과 대화 중 제3자가 채팅에 난입하는 사태가 발생
• 제3자는 피해기업에게 당신이 금액을 지불 하든 안하든 Haron은 데이터를 공개할 것이며, 단지 랜섬웨어 그룹을 도와주는 것 뿐이라고 조언하기도 함
• 결국 Haron은 협상 계정에 제3자가 개입했으므로 새로운 계정을 생성할 것을 추천함

2.2.2. Suncrypt 와의 비교

• 하지만 여전히 제3자 혹은 그 이상의 인원이 개입한 채팅창은 욕설과 협상 방해가 난무하는 등 협상 페이지로서의 기능을 상실함
• 지난 SoW W4에서 다루었던 Suncrypt 랜섬웨어의 프로페셔널한 비지니스 모습과는 사뭇 다른 모습을 보이고 있음
• Suncrypt 랜섬웨어의 경우 사후 서비스까지 제공 (참고. W4 July | KO | Story of the week: Ransomware on the Darkweb)

2.3. RAMP 비공개 전환, 그리고 새로운 Babuk 릭 사이트 도메인의 등장

2.3.1. 스팸 게시물 사건 이후, 비공개로 전환된 RAMP

• RAMP(Babuk) 포럼은 스팸 게시물로 인해 봇으로 추정되는 회원들을 탈퇴시키고 신규 회원 가입을 중단하였음

• 이번 사태를 겪고 난 뒤 포럼이 닫힌 상태로 변경 되었으며. 앞으로는 회원가입을 위한 조건으로 해킹 포럼 XSS, Exploit에서 일정량 이상의 활동이 존재하는 유저에 한해서만 가입을 받는다고 함

2.3.2. 새로운 Babuk 릭 사이트 도메인의 등장

• 기존에 Babuk이 사용하던 도메인이 아니라 새로운 도메인을 개설함
• 현재까지 6건의 피해기업에 대한 정보가 게시되어 있음

2.4. Ragnarok is come back!

• 기존 Ragnarok 랜섬웨어의 Leak site에는 2021.04 까지 피해기업이 업데이트 되었음
• 마지막 피해기업 업데이트 후 한동안 활동이 없다가 2021.07 새로운 Ragnarok Leak Site가 발견됨

• 새로운 랜섬웨어 Leak site의 UI는 전반적으로 더욱 간소화되었으나 기본적인 틀은 크게 달라지지 않았음

Ragnarok 악성코드가 생성하는 Ransom note의 경우 이전과 문구 및 양식에 다소 변화가 있으나, “#ALL YOUR FILES ARE ENCRYPTED AND STOLEN BY RAGNAROK” 라는 문장을 확인 가능

또한 여전히 피해 금액 지불 등 자세한 협상은 별도의 채팅 페이지 없이 이메일을 통해 진행하고 있음

• Malware : 65c3956288e16bdcc55e3c9c6b94ba5b
• Contact mail : CHRISTIAN1986@TUTANOTA.COM

돌아온 Ragnarok는 7월9일 첫 피해기업 업데이트 이후, 이번달에만 벌써 8개의 피해기업을 업데이트하였으며, 앞으로 계속 새로운 피해자가 발생할 것으로 보임

2.4.1. Infected Victim List(2021.07 ~)

2.5. BlackMatter은 Darkside의 리브랜딩인가? 아니면 REvil의 리브랜딩인가?

• Recorded Future는 BlackMatter가 Darkside와 연관성이 있다는 언급을 하였음(참고. https://www.recordedfuture.com/blackmatter-ransomware-successor-darkside-revil/)
• BlackMatter이 러시안 포럼에서 현재 협업할 사람들을 모집하고 있는 정황을 확인함

• BlackMatter이 등장하면서 딥웹 포럼에서는 BlackMatter과 Darkside의 연관성에 대한 논의가 활발하였음
• Darkside의 웹 사이트와 BlackMatter의 웹 사이트가 유사하다는 특징을 언급하고, text와 template이 유사하다는 주장도 있었음

• Affiliate 모집 글을 비교하거나 UI를 비교하며 다른 랜섬웨어 그룹과의 연관성에 대한 이야기가 나오고 있지만, 아직 명확한 증거는 없는 상태임
• Xarvis에 수집된 BlackMatter과 Darkside 웹 사이트를 비교하였을때, Affiliate 모집에 있는 특정 문자열 외에는 특징적인 유사성이 보이지 않음

Conclusion

• [비트코인 모니터링] LockBit 2.0의 Bitcoin address를 지속적으로 모니터링할 필요가 있음
• [포럼 모니터링] RAMP가 비공개 포럼으로의 전환을 예고하면서 XSS.is 포럼에서 활동하는 사용자들에 한해서만 가입을 승인하는 것으로 정책을 변경하였기 때문에 RAMP 포럼 모니터링에 대비해서 XSS.is 포럼 또한 모니터링할 필요가 있음
• [공격 예측] 약 3개월 동안 활동이 없었던 Ragnarok 랜섬웨어가 다시 돌아온 만큼 한동안 왕성한 활동을 보여줄 것으로 보임
• [공격 예측] 신규로 등장한 BlackMatter 랜섬웨어가 등장하면서 Darkside, REvil의 리브랜딩이라는 소문이 돌고 있으며, 아직 샘플이나 랜섬노트가 공개되지 않은 상황이기 때문에 포럼에서 활동 중인 BlackMatter의 활동을 주시할 필요가 있음

• Homepage: https://www.s2wlab.com
• Facebook: https://www.facebook.com/S2WLAB/
• Twitter: https://twitter.com/s2wlab