Story of H1 2023: In-depth Examination of Notable Ransomware Groups and Key Issues (Korean ver.)

Author: Jiho Kim & Huiseong Yang & Kyunghee Kim | S2W TALON

Last Modified : Aug 11, 2023

Photo by Nong on Unsplash

Executive Summary

• 해당 보고서는 2023년 상반기에 활동했던 신규 랜섬웨어들과 기존 랜섬웨어 그룹의 관련 주요 이슈들을 종합하여 작성함.
• 2023년 상반기에 새롭게 확인된 랜섬웨어 그룹은 35개로 확인 되었으며, 그 중 5월에 발견된 신규 랜섬웨어 그룹의 수가 전체 기간 중에 가장 많은 시기로 확인.
• 신규 랜섬웨어 그룹은 Leak 사이트를 운영하고 있는 랜섬웨어 그룹과 기존 랜섬웨어 그룹의 소스코드나 빌더를 사용한 그룹으로 세분화 될 수 있음.

— 2023년 상반기에 Leak 사이트가 새롭게 발견된 랜섬웨어 그룹은 22개이며, Leak 사이트 주소가 변경된 그룹은 3개, 운영을 중단한 그룹은 각각 1개로 확인됨.

— 신규 랜섬웨어 그룹의 Leak 사이트를 유형별로 구분하였을 때, Tor Network에 구축된 Onion 사이트와 함께 Telegram과 Twitter를 같이 운영하는 그룹의 수가 증가하는 추세를 보임.

— 신규 랜섬웨어 그룹 중에서 기존 랜섬웨어 패밀리를 사용한 그룹은 총 14개로 확인되었으며, 그 중 Babuk 패밀리가 전체에서 7개로 가장 많은 비중을 차지함.

— 전체 패밀리의 절반을 차지하는 만큼 많은 랜섬웨어 그룹이 Babuk 랜섬웨어의 소스코드를 참조한 것으로 확인됨.

• 2023년 상반기에 발생한 랜섬웨어 관련 이슈는 Ransomware Group, Affiliate, Attack Campaign, Duplicate Victims로 구분하였음.

— Ransomware Group: 랜섬웨어는 운영체제 대상을 Linux, MacOS 등으로 확대하는 모습을 보여주었으며, Leak 사이트의 구조가 유사한 랜섬웨어 그룹들이 다수 발견

— Affiliate: Initial Access Broker 와 RaaS Operator 사이에 활동은 꾸준히 이어지고 있으며, pentester 또한 다크웹에서 지속적으로 구인하고 있는 만큼 많은 수요를 보이고 있음.

— Attack Campaign: CLOP은 상반기동안 가장 많은 취약점을 악용하였고, Leak 사이트에는 해당 취약점을 통해 피해를 입은 다수의 기업 정보가 업로드

— Duplicated Victims: 중복 피해 기업 수는 총 27개이며, 동일한 기업에 대해 피해 사실을 공개한 그룹은 21개로 확인

1. New Ransomware Groups in H1 2023

• S2W에서 추적한 2023년 상반기 신규 랜섬웨어 그룹은 총 35개로, 1월에는 새롭게 등장한 랜섬웨어 그룹이 없었으며 2월부터 6월까지 평균적으로 6.96개의 그룹이 새롭게 발견되었다.
• 그 중 5월에는 총 10개의 신규 랜섬웨어 그룹이 등장하였는데, 이는 상반기 중 가장 많은 그룹이 등장한 시기로 확인되었다.

표 1. 2023년 상반기 신규 랜섬웨어 그룹

2. Categorizing New Ransomware Groups

해당 절에서는 상반기에 활동한 신규 랜섬웨어 그룹을 특징별로 구분하여 추가적인 분석을 수행하였으며, 이를 위해 Leak 사이트를 운영하는 그룹과 랜섬웨어 패밀리 기준에 따라 그룹을 세분화하였다.

2.1. Ransomware Groups operating Leak site

랜섬웨어 그룹은 파일을 암호화하여 금전을 요구하는 방식과 더불어 데이터를 탈취하여 자신들의 Leak 사이트에 데이터를 공개한다고 협박하는 이중 협박 방식을 사용하고 있다. 즉, 대부분의 랜섬웨어 그룹들이 Leak 사이트를 운영중이며, 랜섬웨어 그룹들에게는 상당히 중요한 인프라이다. 2023년 상반기 동안 Leak 사이트 상태가 변경된 이력을 추적하였으며, 주소가 변경되거나 운영을 중단하여 오프라인 상태로 전환된 그룹이 확인되었다.

• 신규 랜섬웨어 그룹 중 Leak 사이트가 발견된 그룹은 총 22개이다.
• 2023년 상반기에 Leak 사이트 상태가 변경된 그룹은 4개로 확인되었다.
• 주소가 변경된 그룹은 3건으로 IceFire, Stormous, Nokoyawa leaks가 해당된다.
• Leak 사이트 및 운영이 중단된 랜섬웨어 그룹은 Hive 1건으로 확인되었다.

그림 1. Leak 사이트 상태가 변경된 랜섬웨어 그룹

랜섬웨어 그룹은 탈취한 데이터를 공개하기 위해 자체적인 Leak 사이트를 Tor Network에 구축하여 운영하는 경우가 대부분이지만, 최근에는 Onion 사이트와 더불어 피해 사실 공개 및 데이터 유출을 위해 Telegram과 Twitter와 같은 서비스를 추가로 사용하는 그룹의 수가 증가하고 있다.

그림 2. 신규 랜섬웨어 그룹 중 Leak 사이트가 발견된 랜섬웨어 그룹

2.2. Ransomware Family

랜섬웨어 그룹들은 랜섬웨어를 자체적으로 개발하여 사용하는 경우도 있지만, 다른 랜섬웨어 그룹의 소스코드를 구입하거나 유출된 소스코드 및 빌더를 사용하여 기존 랜섬웨어를 커스터마이징 하거나 그대로 사용하는 경우도 존재한다. 이처럼 상반기에 새롭게 등장한 랜섬웨어 중 다른 그룹의 빌더나 유출된 소스 코드를 활용하여 만들어진 랜섬웨어는 14개로 확인 되었으며, 이 중 Babuk Family의 경우 전체 패밀리의 절반을 차지하는 만큼 많은 랜섬웨어 그룹이 Babuk 랜섬웨어의 소스코드를 인용한 것으로 확인되었다.

• 이 중 5개 그룹(Dunghill, Cyclops, RA Group, Monti, BlackSuit)은 Leak 사이트도 운영 중인 점이 확인되었다.

표 2. 신규 랜섬웨어 그룹 중 랜섬웨어 패밀리로 분류된 랜섬웨어 그룹

2.2.1. LockBit Family

• Analyst1에 의하면 LockBit은 과거 BlackMatter 랜섬웨어 그룹의 개발자를 고용하였다고 언급하였으며, 해당 개발자가 BlackMatter 랜섬웨어를 기반으로 LockBit 3.0/Black을 제작하였다.
• LockBit 기반의 랜섬웨어 Family는 모두 2022년 9월에 한 개발자에 의해 유출된 LockBit 3.0/Black 빌더로부터 제작된 랜섬웨어를 의미한다.
• 상반기에 등장한 랜섬웨어 중 LockBit Family로 분류된 랜섬웨어 그룹은 Shadow(Windows), Buhti(Windows) 랜섬웨어가 존재한다.
• Symantec에서 Buhti 랜섬웨어를 사용하는 공격 그룹을 Blacktail이라고 명명하였다.

그림 3. LockBit Family

2.2.2. Babuk Family

• Babuk Family는 2021년 6월에 Babuk 랜섬웨어의 빌더 공개 및 9월에 Babuk 소스코드가 유출되어, 해당 빌더와 코드를 재사용하여 만들어진 랜섬웨어들을 의미한다.
• 상반기에 등장한 랜섬웨어 중 Babuk Family로 분류된 랜섬웨어 그룹은 Dunghill, Cyclops, RA Group, Rorschach, ESXiArgs, Buhti(Linux), Shadow(Linux) 랜섬웨어가 존재한다.

그림 4. Babuk Family

2.2.3. Conti Family

• Conti Family 는 2022년 2월 러시아의 우크라이나 침략 당시 친러 성향을 보인 Conti의 내부자로부터 유출된 소스코드를 인용하여 만들어진 랜섬웨어 그룹들 뿐만 아니라 Conti의 하위 집단에서 만들어진 랜섬웨어 그룹(BlackBasta, BlackByte, Royal)에서 파생된 랜섬웨어들을 의미한다.
• 상반기에 등장한 랜섬웨어 중 Conti Family로 분류된 랜섬웨어 그룹은 Monti, BlackSuit, Gazprom 랜섬웨어가 존재한다.
• Red Sense팀의 분석가인 Yelisey Bohuslavskiy 에 의하면, Royal RaaS를 운영하는 Royal Spider 그룹은 Royal 뿐만 아니라 BlackSuit 랜섬웨어도 사용한다고 언급하였다.

그림 5. Conti Family

2.2.4. Chaos Family

• Chaos Family 는 2021년 6월부터 다크웹 포럼에서 유저들의 조언을 얻고자 업로드하였던 Chaos 랜섬웨어 빌더를 통해 제작된 랜섬웨어 그룹들을 의미한다.
• 상반기에 등장한 랜섬웨어 중 Chaos Family로 분류된 랜섬웨어 그룹은 Obsidian ORB, Wagner 랜섬웨어가 존재한다.

그림 6. Chaos Family

3. Key Issues in the first half of the year

2023년 상반기동안 발생한 랜섬웨어 그룹 별 주요 이슈를 정리하였으며, Ransomware Group, Affiliate, Attack Techniques, Duplicated Victims 으로 구분하였다. 여기서는 신규 랜섬웨어 그룹 뿐만 아니라 새롭게 확인된 기존 랜섬웨어 그룹들의 주요 동향도 다루고 있다.

3.1. Ransomware Group

랜섬웨어 그룹은 Affiliate를 모집하거나, RaaS 홍보 및 IAB(Initial Access Broker)로부터 Initial Access 권한을 구매하기 위해 다양한 딥&다크웹 포럼 및 텔레그램에서 활동하고 있다. 2023년 상반기에 이러한 활동이 식별된 랜섬웨어 그룹은 다음과 같다.

표 3. 2023년 상반기에 활동한 랜섬웨어 그룹과 DDW 유저

3.1.1 Version Control

RaaS를 운영하는 랜섬웨어 그룹들은 탐지 회피 및 브랜드 평판 유지를 위해 꾸준히 자신들의 랜섬웨어를 업데이트 한다. 이번 상반기에는 LockBit, BlackCat, BlackByte, Trigona, CLOP, IceFire 그룹들의 랜섬웨어가 업데이트 되었다. 특히, LockBit, Trigona, CLOP, IceFire 랜섬웨어 같은 경우에는 운영체제 타겟의 범위를 Windows 뿐만 아니라 Linux, MacOS 까지 확장하는 모습을 보여주었다.

LockBit

• LockBit은 2019년 9월에 등장하여 총 4번의 업데이트를 진행하였으며, 6~12개월 주기로 랜섬웨어를 꾸준히 업데이트하고 있다.
• 2023년 1월에 LockBit 4.0/Green이 출시 되었으며, 해당 랜섬웨어는 유출된 Conti 소스코드를 기반으로 제작 되었다.
• 2023년 4월에는 MacOS를 타겟으로 하는 LockBit 랜섬웨어가 발견 되었으며, 대형 RaaS 그룹 중에는 최초로 MacOS를 타겟으로 하는 랜섬웨어를 제작하였다.

그림 7. History of LockBit

BlackCat

• BlackCat 랜섬웨어는 The Record에서 공개한 인터뷰 내용에서 BlackMatter의 리브랜딩 그룹임을 인정하였으며, 2021년 12월에 처음 공개 되었다.
• 2023년 2월에 BlackCat은 BlackCat 2.0: Sphynx로 랜섬웨어를 업데이트 했으며, Affiliate 들에게 업데이트 된 내용을 공개하였다.
• 2023년 3월에 다크웹 포럼에서 업데이트 된 랜섬웨어를 홍보하는 글을 게시하였다.

그림 8. BlackCat 2.0 업데이트 공지글 (좌) / 그림 9. BlackCat 2.0 홍보 게시글 (우)

BlackByte

• BlackByte는 과거 Conti 랜섬웨어 그룹의 하위 그룹으로 알려져 있으며, 2021년 7월에 랜섬웨어가 처음 발견되었다.
• 2021년 7월부터 9월까지의 BlackByte 초기 랜섬웨어는 난독화 된 자바스크립트 로더를 통해 실행 되었으며, 최종적으로 .NET DLL을 메모리에서 실행시킨다.
• 2021년 9월부터는 Go로 작성된 BlackByte 랜섬웨어가 발견 되었으며, 이 후 계속해서 기능이 업데이트 되었고 암호화 알고리즘 변경, GoObfuscate를 통한 난독화 및 EDR Bypass 기능 등이 추가되었다.
• 2023년 2월에는 BlackByteNT가 출시되었으며, 기존 사용하던 Go언어에서 C++로 언어를 변경하였다.

그림 10. BlackByte 업데이트 이력

Trigona

• Trigona는 2022년 6월에 처음으로 언급되었으며, 2022년 11월에 Trigona의 협상 사이트가 최초로 공개되었다.
• 2023년 5월에는 Linux 버전의 Trigona 랜섬웨어가 발견되었으며, 랜섬노트에 협상 사이트 및 Leak 사이트가 포함되어 있지 않았다는 점에서 아직 개발 중일 것이라고 추측하고 있다.
• 2023년 6월에는 Windows 64-bit 버전의 Trigona 랜섬웨어가 발견되었으며, 기존 32-bit 버전에서 사용하던 파라미터에서 일부가 추가되었다.

CLOP

• CLOP 랜섬웨어는 2019년 2월에 처음으로 발견되었으며, TA505 그룹이 대규모 스피어 피싱 이메일 캠페인을 시작할 때 CLOP이 사용되었고, 이후 TA505의 하위 그룹인 FIN11이 CLOP 랜섬웨어를 공격에 활용하기 시작했다.
• 2023년 2월에 Linux 버전의 CLOP이 발견되었으며, Windows 버전과 유사한 암호화 방법을 사용하였다.
• Linux 버전에는 암호화 알고리즘에 결함이 있어 몸값을 지불하지 않고도 암호화 된 파일을 복호화 시킬 수 있는 결함이 존재하였다.

IceFire

• IceFire는 2022년 8월에 처음으로 발견되었으며, 초기에는 Windows 운영체제만을 타겟으로 삼았다.
• 2023년 3월에 IBM Aspera Faspex 파일 공유 소프트웨어의 취약점 (CVE-2022–47986) 을 악용하여 Linux 버전의 IceFire 랜섬웨어가 유포되었다.

3.1.2. Revealed connections between ransomware groups

2023년 상반기동안 일부 랜섬웨어 그룹 간 연관성이 확인되었으며, 랜섬웨어 연관성을 공개된 순으로 정리하였다.

Nevada — Nokoyawa

• Nevada 랜섬웨어는 2022년 12월에 처음으로 다크웹 상에서 RaaS 프로그램 홍보를 진행하였으며, Linux와 64bit Windows 운영체제를 지원하는 Rust 언어로 작성되었다.
• Zscaler는 2023년 3월에 Nevada 랜섬웨어와 Nokoyawa 랜섬웨어 간의 연관성을 제기하였는데, Debug 문자열, 실행 파라미터, 암호화 알고리즘 등 두 랜섬웨어 간 상당 부분의 코드 유사성을 확인하였다고 밝혔다.
• 공개된 보고서에서는 C++로 작성되었던 Nokoyawa 랜섬웨어가 2.0 버전부터 Rust 언어를 사용하기 시작하면서 이후 버전부터는 Nevada 랜섬웨어로 수정되어 왔으며, 소스코드 유출 또는 탐지를 회피하기 위한 목적일 가능성이 존재한다고 언급하기도 하였다.

그림 11. Nokoyawa-Nevada 연관성

Rancoz — 0mega

• Rancoz 랜섬웨어는 2023년 5월에 Leak 사이트가 처음 발견되었다. 최초 발견 당시 0mega 랜섬웨어 Leak 사이트와 매우 높은 유사성이 확인되었으나, 그 이후 추가적인 연관성이 확인되지는 않았다.

그림 12. 0mega Leak 사이트 구성 (좌) / 그림 13. Rancoz 랜섬웨어의 Leak 사이트 구성 (우)

8Base — Ransom House & Phobos

• 8Base 랜섬웨어 그룹은 2023년 5월 말에 최초로 Leak 사이트가 발견되었으며, Telegram 및 Twitter에서도 활동하고 있다.
• VMware는 8Base 랜섬웨어가 기존에 공개된 여러 랜섬웨어를 사용하고 있다고 언급하며 특히 Ransom House, Phobos 랜섬웨어와의 연관성을 제기하였다.
• 보고서에 따르면 8Base 랜섬웨어의 릭사이트 내 주요 페이지의 문구와 랜섬노트의 유형은 Ransom House와 매우 높은 유사성을 보이고 있지만, 초기 침투 이후 랜섬웨어 압축 해제 및 로드 과정에서 2.9.1 버전의 Phobos 랜섬웨어를 사용한 사실이 확인되었다.

그림 14. 8Base 랜섬웨어 Leak 사이트 문구 (좌) / 그림 15. Ransom House Leak 사이트 문구 (우)

Snatch — Nokoyawa

• Nokoyawa 랜섬웨어는 2023년 5월에 Leak 사이트 주소가 변경된 이후 Snatch 그룹의 Leak 사이트 UI 및 문구가 유사하며, 다수의 피해 기업이 중복되어 두 그룹 간 연관성이 제기되었다.

그림 16. Snatch 그룹의 Leak 사이트 (좌) / 그림 17. Nokoyawa 그룹의 Leak 사이트 (우)

3.2. Affiliate

Affiliate는 RaaS Operator 들과 협업하여 초기 침투, 네트워크 측면 이동, 데이터 탈취, 랜섬웨어 배포 등의 행위를 수행하는 개인 또는 그룹을 의미한다.

해당 보고서에서는 기존 알려진 Affiliate의 의미와는 다르게 Initial Access를 위해 도움을 주는 모든 유저 또는 그룹으로 접근하였으며, Affiliate를 두 가지 측면으로 구분하였다. 딥다크웹 내에서 개인 및 특정 기업에 대한 Access 정보를 판매하는 “Initial Access Broker”와 랜섬웨어 페이로드를 유포하기 위한 최초 침투 과정을 담당하는 “Pentester”로 세분화하였다.

3.2.1 Initial Access Broker

RaaS Operator들은 다양한 딥다크웹 포럼에서 활동하고 있는 IAB(Initial Access Broker)로부터 타겟에 대한 Initial Access 권한을 구매한다. 2023년 상반기에 RaaS Operator와 협력한 IAB와 관련하여 공개된 내용을 요약한 결과는 다음과 같다.

BianLian: 3ger

• 다크웹 포럼에서 국내 제약 기업에 대한 RDP Credential 판매 게시글에 판매 완료 메시지가 작성된 이후 BianLian 랜섬웨어 릭사이트에 동일 기업에 대한 피해 사실이 공개되었다.

LockBit, REvil: Bassterlord

• 2016년부터 활동해온 IAB로 2019년부터 다양한 랜섬웨어와 협력하여 RDP 권한 정보를 판매한 것으로 알려져 있다.
• 2023년 3월에는 LockBit, REvil 등의 랜섬웨어와 협력하여 여러 국가 기관과 기업의 Access를 탈취한 이력이 존재하는 Bassterlord가 은퇴를 선언하기도 하였다.

AvosLocker: sganarelle

• XSS 포럼에서 활동하고 있는 AvosLocker 랜섬웨어 오퍼레이터가 sganarelle 유저로부터 특정 기업에 대한 Access 정보를 구매한 사실이 확인되었다.

3.2.2. Pentester

Pentester는 공격 대상의 내부 인프라에 침투하여 랜섬웨어를 유포하는 공격자를 의미하며, RaaS에서 가장 중요한 역할을 맡는다. RaaS Operator는 Affiliate Program 을 통하여 이들과 협력하며, Pentester들은 RaaS에서 제공하는 랜섬웨어를 사용하여 내부 침투 후 파일을 암호화하며, 피해 기업이 몸값을 지불하도록 유도한다. 이들은 RaaS 마다 책정된 몸값 분배 비율을 통해 일부 수수료를 Operator에 전달하고, 대부분의 금전을 취한다. 2023년 상반기에 공개된 Pentester 들은 다음과 같다

BlackCat: UNC4466, DEV-0237, DEV-0501, DEV-0504, DEV-0832

• 2023년 4월에 공개된 Mandiant 보고서에 의하면, UNC4466은 Alphv/BlackCat의 Affiliate로 Veritas Backup Exec의 취약점(CVE-2021–27876, CVE-2021–27877, CVE-2021–27878)을 사용하여 피해 시스템에 접근하는 그룹 이다.
• Equinux의 CTI 연구원인 Will의 트윗에 의하면 UNC4466 그룹 외에도 DEV-0237/Pistachio Tempest, Storm/DEV-0501, DEV-0504/Velvet Tempest, DEV-0832/Vanilla Tempest도 BlackCat의 Affiliate라고 언급하였다.

그림 18. BlackCat Affiliates

3.3. Attack Techniques

2023년 상반기에 공개된 RaaS Operator의 주요한 공격 캠페인을 사용된 Vulnerability, Malware 그리고 Tools 를 기준으로 구분하였다.

그림 19. Campaign Timeline

위에서 언급한 주요 공격 캠페인에서 RaaS Operator가 공격에 사용한 취약점은 총 11개으로, 그 중 공개된 취약점 (1-day)를 악용한 경우는 8개, 공개되지 않은 취약점 (0-day)가 악용된 경우는 3개이다.

• 랜섬웨어 그룹 중 CLOP은 상반기동안 2개의 제로데이 취약점을 악용하였고, Leak 사이트에는 해당 취약점을 통해 피해를 입은 다수의 기업 정보가 업로드 하기도 하였다.
• 그 외에도 PaperCut 취약점(CVE-2023–27350과 CVE-2023–27351)은 CLOP, LockBit, Bl00Dy 랜섬웨어 그룹이 모두 사용한 취약점으로 확인되었다.

표 4. 캠페인에 사용된 취약점 목록

3.4. Duplicated Victims

본 보고서에서는 중복된 기업을 업로드 한 랜섬웨어 그룹을 구분하기 위해 추가적인 분석을 진행하였다. 여러 Leak 사이트에서 동일한 기업에 대한 피해 사실을 공개하는 경우가 존재하는데 이는 랜섬웨어 그룹과 연관된 IAB가 여러 그룹과 협력하기 때문일 것으로 추측된다.

그룹의 성격에 따라 Leak 사이트의 유형이 구분될 수 있으며, S2W에서는 각 유형을 “Leak 계열”과 “Ransomware 계열”로 구분하였다. 이 때 랜섬웨어 그룹과 협력 관계에 있거나, 직접적인 공격 없이 데이터 판매 중개를 하는 그룹을 “Leak 계열”로 분류하였고, 랜섬웨어에 감염된 기업의 피해 사실을 업로드 하는 그룹을 “Ransomware 계열”로 구분하였다.

• 2023년 상반기에 활동한 랜섬웨어 그룹 중 Snatch와 Karakurt, Unsafe가 Leak 계열 그룹에 해당한다.

2023년 상반기동안 Leak 사이트에 업로드된 중복 피해 기업 수는 총 27개이며, 동일한 기업에 대한 피해 사실을 공개한 그룹은 21개로 확인되었다. 중복된 기업을 업로드 한 그룹 간 연관성을 확인한 결과는 다음과 같다.

• 그림 20에서 각 랜섬웨어 그룹은 1:1 관계를 맺고 있으며, 중복 기업을 먼저 업로드 한 그룹이 왼쪽에, 나중에 업로드한 그룹이 오른쪽에 위치하게 된다.
• 이어질 내용에서는 중복 기업을 업로드한 그룹을 앞서 분류한 기준에 따라 구분하였다.

그림 20. 전체 중복 피해 기업

3.4.1. Leak 계열

2023년 상반기에 동일한 피해 기업을 늦게 업로드한 랜섬웨어 그룹 중 Leak 계열에 해당하는 그룹은 Snatch가 유일했으며 7개의 중복된 피해 기업을 업로드 하였다.

• Snatch 그룹은 과거 랜섬웨어를 사용했다고 알려져있으나, 2021년 12월에 공식 텔레그램 채널 상에서 언급된 내용에 따르면 Snatch 그룹은 랜섬웨어를 사용하지 않는다고 밝힌 바 있다.

그림 21. Snatch 그룹 공식 텔레그램 메시지 (좌) / 그림 22. Snatch 그룹의 Leak 사이트 공지사항 (우)

그림 23에서 확인할 수 있듯이 Snatch 그룹은 여러 Affiliate와 협력하여 추가적인 데이터 유출을 진행하며, 이로 인해 다수의 중복 기업이 발생하였을 것이라고 추측된다.

그림 23. Leak 계열 그룹 간 중복 피해 기업

3.4.2. Ransomware 계열

2023년 상반기에 중복 기업을 늦게 업로드한 Ransomware 계열의 그룹 중 LockBit과 Royal이 각 4개로 가장 많았으며, 중복 기업을 먼저 업로드한 그룹 역시 LockBit이 5건으로 가장 많았다.

그림 24. Ransomware 계열 그룹 간 중복 피해 기업

동일 피해 기업을 업로드한 그룹 중 LockBit이 가장 많은 수를 차지하는 이유는 많은 수의 Affiliate가 존재하기 때문일 것이라고 보이며, vx-underground와 LockBit 랜섬웨어 Administrator간 인터뷰한 내용에 따르면 이들의 Affiliate가 100개 이상이라고 언급된 바 있다.

• Royal 랜섬웨어 그룹과 동일한 기업의 피해 사실을 업로드한 그룹 중 BlackBasta와 Karakurt가 존재하는데, Advintel에 의해 공개된 내용에 따르면 이들은 모두 Conti 랜섬웨어와 관련이 있는 그룹으로 알려져 있다.
• Google TAG가 공개한 내용에 의하면, UAC-0098과 같은 IAB가 Conti를 포함한 다양한 랜섬웨어 그룹에게 Access 데이터를 제공한 것으로 확인되었고, 이로 인해 Conti 계열 랜섬웨어 그룹이 동일한 기업을 대상으로 공격을 수행했을 가능성이 존재한다고 추측된다.

그림 25. Conti 랜섬웨어 그룹 구조 (출처: @VK_Intel)

Conclusion

• S2W에서 추적한 2023년 상반기 신규 랜섬웨어 그룹은 총 35개로 확인되었으며, 하반기에도 신규 랜섬웨어 그룹은 꾸준히 등장할 것으로 보인다.
• 랜섬웨어 그룹들은 Linux, MacOS 등으로 운영체제 타겟 범위를 점차 넓혀가고 있으며, Linux 버전의 랜섬웨어 소스코드는 유일하게 Babuk이 유출되면서 많은 그룹들이 Linux 버전의 랜섬웨어를 Babuk 소스코드를 참조하였다.

— 이는 전체 랜섬웨어 패밀리 중 Babuk Family가 가장 많은 비중을 차지하는데 영향을 준 것으로 추측 된다.

• 신규 Leak 사이트가 발견되면서 기존 랜섬웨어 그룹이 사용하는 Leak 사이트의 문구나 구조가 유사한 랜섬웨어 그룹들이 발견되었다.
• 랜섬웨어가 사용된 주요 캠페인을 분석해 본 결과, CLOP 랜섬웨어 그룹이 GoAnywhere MFT, PaperCut, MOVEit 등 상반기에 가장 많은 취약점을 악용하여 공격을 수행하였다.
• Leak 사이트에 올라오는 피해 기업을 분석해본 결과, 2023년 상반기 동안 랜섬웨어에 중복으로 감염되는 피해 기업이 발생하였다.

— Affiliates 들은 여러 랜섬웨어 그룹과 협업하여 Access 데이터를 제공 및 초기 침투를 강행하며, 이로 인해 다른 랜섬웨어에 중복으로 감염되는 기업이 발생되고 있는 것으로 예상된다.

P.S. 우리는 Orange Cyberdefense 에서 제작한 Ransomware map을 보고 감명받아, 이를 참고하여 우리만의 map 을 제작하였습니다. 이들에게 감사의 인사를 전합니다.

• Homepage: https://s2w.inc
• Facebook: https://www.facebook.com/S2WLAB
• Twitter: https://twitter.com/S2W_Official