[SoW] W5 July | KO | Story of the week: Ransomware on the Darkweb
With contribution from Denise Dasom Kim, Jungyeon Lim, Yeonghyeon Jeong, Sujin Lim | S2W LAB Talon
Reborn or Burned
SoW: Ransomware는 다크웹 내 랜섬웨어의 활동을 요약하는 보고서를 발행합니다. 본 보고서에는 주간 피해 기업 통계, 공격 대상 국가 TOP 5, 공격 대상 산업군 TOP 5, 다크웹 내에서 활동 중인 주요 랜섬웨어가 작성한 게시글 현황 등을 포함합니다.
요약
- [통계] 7월 한달 동안 랜섬웨어로 부터 피해를 당한 피해기업이 150건이 발견되었으며, 이 중 미국이 38%를 차지하였고 가장 활동이 활발했던 랜섬웨어 그룹은 전체 활동량의 36.7%를 차지한 LockBit 2.0으로 확인됨
- [암호화폐] LockBit 2.0의 지갑 주소를 추적한 결과, 피해 기업이 지불한 자금이 바이낸스 개인 Wallet으로 전송된 것으로 추정됨
- [다크웹] 다시 돌아온 Ragnarok 랜섬웨어, 현재까지 8개의 피해 기업이 새로 발견됨
- [다크웹] RAMP의 비공개 선언, 그리고 Babuk의 새로운 릭 사이트 도메인 등장
- [다크웹] BlackMatter은 Darkside의 리브랜딩인가? 아니면 REvil의 리브랜딩인가?
1. 월간 통계
- 2021년 7월 1일부터 7월 27일까지 랜섬웨어 릭 사이트를 통해 확인된 피해 기업은 150 건이며, 피해 기업을 공개한 랜섬웨어 그룹은 18건으로 확인됨
1.1. 다크웹 내 랜섬웨어 피해 기업 현황 (07/01~07/27)
1.2. 공격 대상 국가 TOP 5
- United States — 38.0%
- United Kingdom — 8.7%
- Germany & Australia — 4.7%
- Turkey & Italy — 4.0%
- Canada & France — 3.3%
1.3. 공격 대상 산업군 TOP 5
- Service — 12.7%
- IT — 10.0%
- Law — 8.0%
- Financial — 7.3%
- Retail & Manufacturer — 6.0%
1.4. 랜섬웨어 활동 TOP 5
- lockbit — 36.7%
- CONTI — 14.3%
- HIVE — 8.7%
- Revil — 7.3%
- crylock & avos & Marketo — 4.7%
2. 주간 다크웹 내 활동 중인 랜섬웨어 관련 주요 사건
2.1. LockBit 2.0 랜섬웨어에 감염된 피해 사례 분석
- 랜섬웨어에 감염되면 아래와 같은 Ransom note가 생성됨
- Lockbit 2.0 랜섬웨어의 경우 협상을 위해서 2개의 다크웹 채팅 페이지를 운영하고 있음
- Ransom note에는 피해자별 다른 Decryption ID 값이 생성되며, 이 값을 통해 채팅 페이지에 접속하여 1:1 협상을 이어감
2.1.1. LockBit 2.0 비트코인 지불 추적
- 랜섬웨어에 감염된 피해자와 LockBit 2.0 운영자의 채팅 기록을 통해 Bitcoin 입금 주소를 확인
- 랜섬웨어 운영자는 피해자에게 아래 주소로 비트코인을 입금할 것을 요구함
이에 피해자는 협상끝에 최종적으로 0.24993 BTC 을 지불
- Payment Address : bc1qwx9y37xd8sznjj0yw85q9fd9qfyaur9xasc2h4
- Transaction date : 2021–07–29 02:17
- Amounts : 0.24993
입금을 확인한 랜섬웨어 운영자는 약 78%에 해당하는 0.1798 BTC 을 아래 주소로 전송함
- Bitcoin Address : 15oTKZ1oQgvNtJyqF8MJ9mNqKiNEeu4skG
- Transaction date : 2021–07–29 05:01
- Amounts : 0.17982
해당 계좌의 99% 금액은 Binance Master Wallet으로 전송되는 점을 보아 LockBit 2.0 소유의 Binance 개인 Wallet으로 추측됨
2.1.2. 지속적인 모니터링이 필요한 LockBit 2.0 비트코인 주소
피해자가 지불한 금액의 약 19%에 해당하는 0.07012553 BTC은 아래 주소로 이동한 뒤 아직 변화가 없음
해당 계좌에 대한 모니터링이 필요해 보임
- Bitcoin Address : bc1qjhz2ewjp62rxn765cxts7lkfrdm7cazagl2l03
- Transaction date : 2021–07–29 05:01
- Amounts : 0.07 BTC
2.2. 비공개 블로그에 새로운 피해기업 정보를 업데이트한 Haron 랜섬웨어
- Avaddon과의 관계에 대해 이슈가 많은 Haron은 현재 지속적으로 피해기업을 업데이트 하고 있음
- 다만 큰 규모의 피해 기업이 많은 비중을 차지했던 Avaddon 과는 달리 대부분 작은 규모의 피해 기업이 Haron으로 부터 피해를 입은 상태임
2.2.1. 피해기업의 랜섬웨어 채팅 현황
- 첫 번째 피해기업과 대화 중 제3자가 채팅에 난입하는 사태가 발생
- 제3자는 피해기업에게 당신이 금액을 지불 하든 안하든 Haron은 데이터를 공개할 것이며, 단지 랜섬웨어 그룹을 도와주는 것 뿐이라고 조언하기도 함
- 결국 Haron은 협상 계정에 제3자가 개입했으므로 새로운 계정을 생성할 것을 추천함
2.2.2. Suncrypt 와의 비교
- 하지만 여전히 제3자 혹은 그 이상의 인원이 개입한 채팅창은 욕설과 협상 방해가 난무하는 등 협상 페이지로서의 기능을 상실함
- 지난 SoW W4에서 다루었던 Suncrypt 랜섬웨어의 프로페셔널한 비지니스 모습과는 사뭇 다른 모습을 보이고 있음
- Suncrypt 랜섬웨어의 경우 사후 서비스까지 제공 (참고. W4 July | KO | Story of the week: Ransomware on the Darkweb)
2.3. RAMP 비공개 전환, 그리고 새로운 Babuk 릭 사이트 도메인의 등장
2.3.1. 스팸 게시물 사건 이후, 비공개로 전환된 RAMP
- RAMP(Babuk) 포럼은 스팸 게시물로 인해 봇으로 추정되는 회원들을 탈퇴시키고 신규 회원 가입을 중단하였음
- 이번 사태를 겪고 난 뒤 포럼이 닫힌 상태로 변경 되었으며. 앞으로는 회원가입을 위한 조건으로 해킹 포럼 XSS, Exploit에서 일정량 이상의 활동이 존재하는 유저에 한해서만 가입을 받는다고 함
2.3.2. 새로운 Babuk 릭 사이트 도메인의 등장
- 기존에 Babuk이 사용하던 도메인이 아니라 새로운 도메인을 개설함
- 현재까지 6건의 피해기업에 대한 정보가 게시되어 있음
2.4. Ragnarok is come back!
- 기존 Ragnarok 랜섬웨어의 Leak site에는 2021.04 까지 피해기업이 업데이트 되었음
- 마지막 피해기업 업데이트 후 한동안 활동이 없다가 2021.07 새로운 Ragnarok Leak Site가 발견됨
- 새로운 랜섬웨어 Leak site의 UI는 전반적으로 더욱 간소화되었으나 기본적인 틀은 크게 달라지지 않았음
Ragnarok 악성코드가 생성하는 Ransom note의 경우 이전과 문구 및 양식에 다소 변화가 있으나, “#ALL YOUR FILES ARE ENCRYPTED AND STOLEN BY RAGNAROK” 라는 문장을 확인 가능
또한 여전히 피해 금액 지불 등 자세한 협상은 별도의 채팅 페이지 없이 이메일을 통해 진행하고 있음
- Malware : 65c3956288e16bdcc55e3c9c6b94ba5b
- Contact mail : CHRISTIAN1986@TUTANOTA.COM
돌아온 Ragnarok는 7월9일 첫 피해기업 업데이트 이후, 이번달에만 벌써 8개의 피해기업을 업데이트하였으며, 앞으로 계속 새로운 피해자가 발생할 것으로 보임
2.4.1. Infected Victim List(2021.07 ~)
2.5. BlackMatter은 Darkside의 리브랜딩인가? 아니면 REvil의 리브랜딩인가?
- Recorded Future는 BlackMatter가 Darkside와 연관성이 있다는 언급을 하였음(참고. https://www.recordedfuture.com/blackmatter-ransomware-successor-darkside-revil/)
- BlackMatter이 러시안 포럼에서 현재 협업할 사람들을 모집하고 있는 정황을 확인함
- BlackMatter이 등장하면서 딥웹 포럼에서는 BlackMatter과 Darkside의 연관성에 대한 논의가 활발하였음
- Darkside의 웹 사이트와 BlackMatter의 웹 사이트가 유사하다는 특징을 언급하고, text와 template이 유사하다는 주장도 있었음
- Affiliate 모집 글을 비교하거나 UI를 비교하며 다른 랜섬웨어 그룹과의 연관성에 대한 이야기가 나오고 있지만, 아직 명확한 증거는 없는 상태임
- Xarvis에 수집된 BlackMatter과 Darkside 웹 사이트를 비교하였을때, Affiliate 모집에 있는 특정 문자열 외에는 특징적인 유사성이 보이지 않음
Conclusion
- [비트코인 모니터링] LockBit 2.0의 Bitcoin address를 지속적으로 모니터링할 필요가 있음
- [포럼 모니터링] RAMP가 비공개 포럼으로의 전환을 예고하면서 XSS.is 포럼에서 활동하는 사용자들에 한해서만 가입을 승인하는 것으로 정책을 변경하였기 때문에 RAMP 포럼 모니터링에 대비해서 XSS.is 포럼 또한 모니터링할 필요가 있음
- [공격 예측] 약 3개월 동안 활동이 없었던 Ragnarok 랜섬웨어가 다시 돌아온 만큼 한동안 왕성한 활동을 보여줄 것으로 보임
- [공격 예측] 신규로 등장한 BlackMatter 랜섬웨어가 등장하면서 Darkside, REvil의 리브랜딩이라는 소문이 돌고 있으며, 아직 샘플이나 랜섬노트가 공개되지 않은 상황이기 때문에 포럼에서 활동 중인 BlackMatter의 활동을 주시할 필요가 있음
- Homepage: https://www.s2wlab.com
- Facebook: https://www.facebook.com/S2WLAB/
- Twitter: https://twitter.com/s2wlab