S2W BLOG
Published in

S2W BLOG

W1 July | KO | Story of the week: Ransomware on the Darkweb

Truth of Dare

With Contribution from Denise Dasom Kim, Jungyeon Lim, Yeonghyeon Jeong | S2W LAB Talon

SoW: Ransomware는 다크웹 내 랜섬웨어의 활동을 요약하는 보고서를 발행합니다. 본 보고서에는 주간 피해 기업 통계, 공격 대상 국가 TOP 5, 공격 대상 산업군 TOP 5, 다크웹 내에서 활동 중인 주요 랜섬웨어가 작성한 게시글 현황 등을 포함합니다.

요약

  1. [통계] 랜섬웨어 피해기업은 1주일간 총 55건으로 전 주 대비 19.5% 증가, 피해 기업의 수는 여전히 미국이 58.2%로 가장 많은 부분을 차지함
  2. [다크웹] LockBit 운영자는 개발자들 중에서 Express VPN을 사용하는 사람은 없으며, LockBit과 관련된 IP 정보는 자신들과 관련이 없다고 Prodaft 보고서에서 언급한 내용을 반박함
  3. [다크웹] Vice Society, Hive Ransomware, teslarvng2 신규 랜섬웨어 발견
  4. [다크웹] Twitter에 Babuk Ransomware의 Payload 생성과 암호화된 파일을 복호화 할 수 있는 Babuk Builder 가 공유됨. 이러한 Ransomware-as-a-Service(RaaS) 형태의 랜섬웨어가 다크웹에서 계속 흥행 중임
  5. [다크웹] Exploit 포럼에서 File Exchange 서비스를 새롭게 런칭하였으며, 3rd party 서비스를 활용한 것이 아닌 단독 개발했다며 홍보 중. 새롭게 등장한 Hive 랜섬웨어가 해당 서비스를 사용중인 것으로 파악됨

1. 주간 통계

A. 피해 기업 통계

다크웹 내 랜섬웨어 피해 기업 현황 (06/21~06/27)

B. 공격 대상 국가 TOP 5

  1. United States — 58.2%
  2. Canada — 9.1%
  3. France — 7.3%
  4. Italy & United Kingdom — 5.5%
  5. Mexico — 3.6%

C. 공격 대상 산업군 TOP 5

  1. Service- 23.6%
  2. Manufacturer & Healthcare — 9.1%
  3. Financial — 7.3%
  4. Food production & Construction & IT — 5.5%
  5. Government & Industrial & Transportation & Aerospace — 3.6%

D. 랜섬웨어 그룹별 데이터 유출 사이트 운영 상황

  • 매일 자정을 기준으로 Ransomware Leak 사이트 28개의 alive 여부를 체크하였을 때, 하루 평균 23개의 사이트가 접속 가능하며, 5개의 사이트가 접속이 불안정함
  • Latest Updated는 피해 기업 정보를 업데이트한 날짜 기준으로 작성됨

현재 모니터링 중인 Ransomware Leak 사이트

  • 현재 모니터링 중인 Ransomware Leak 사이트 중, 평균 23개의 사이트가 안정적인 상태로 꾸준한 활동량을 보여주고 있음

2. 주간 다크웹 내 활동 중인 랜섬웨어 관련 주요 사건

A. The current status of LockBit

A-1. Prodaft에서 LockBit의 IoC와 Decryptor 정보 공개

  • 6월 23일, “LockBit RaaS In-Depth Analysis”를 발표한 Prodaft 측에서 LockBit 관련 IoC와 Decryptor 정보를 공개함
  • LockBit으로 부터 피해를 당한 피해 기업의 고유 ID와 Decryptor 정보가 공개되어 있음

https://github.com/prodaft/malware-ioc/tree/master/LockBit

A-2. LockBit 운영자, “개발자들 중에서 Express VPN을 사용하는 사람은 없다” 언급

  • 지난 주 SoW에서 언급된 “LockBit Renewal after the Prodaft Report”의 연장선
  • Exploit.in에서 활동 중인 LockBit 운영자는 “개발자들 중에서 Express VPN을 사용하는 사람은 없다” 라고 Prodaft 보고서에 대한 자신의 입장을 밝혔음
  • Prodaft 보고서에서 언급한 LockBit 과 관련된 IP 정보는 자신들과 관련이 없다고 하였음
  • 보고서에 있는 IP가 자신들의 IP였다면, 공식적으로 수사가 이루어졌을 것이라고 말함

A-3. LockBit 운영자, 러시아와 미국의 협력 계획 관련 기사 언급

  • Exploit.in에서 활동 중인 LockBit 운영자가 러시아와 미국이 랜섬웨어 해커를 식별하기 위해서 협력할 계획이라는 내용의 기사를 언급함
  • 자금 세탁에 관한 내용과 랜섬웨어 활동을 통해 번 돈을 가지고 안전하게 살 수 있는 나라에 대한 잡담을 나눔

B. 신규 랜섬웨어

B-1. Vice Society (aka. v-society)

  • 6월 11일 금요일, Michael Gillespie 라는 유저가 트위터에서 Vice Society(“.v-society”)와 HelloKitty(“.crypt”)는 같다는 내용의 트윗을 게시함
  • 해당 랜섬웨어는 파일을 암호화할때 OpenSSL (AES256 + secp256k1 + ECDSA)를 활용하며, 샘플은 피해 기업의 요청에 의해 공유하지 않는다고 밝힘

https://twitter.com/demonslay335/status/1403109032014061568

  • Vice Society의 피해 기업 정보가 Leak 사이트에 업데이트 되고 있는 것을 확인하였으며, 현재까지 총 10개의 피해 기업이 존재 함

B-2. Hive

  • 6월 26일 토요일에 dnwls0719 라는 유저가 트위터에서 Hive 랜섬웨어에 대한 Leak 사이트 정보와 랜섬노트에 대한 트윗을 게시함

https://twitter.com/fbgwls245/status/1408632067181604865?s=20

  • 이어서 6월 27일 일요일에 z*** 이라는 유저가 Leak 사이트 정보와 함께 랜섬노트 정보를 XSS.is 에 게시함
  • Hive 랜섬웨어의 Leak 사이트를 확인한 결과, 피해 기업의 정보를 Exploit.in Download 링크를 통해 공유하는 사실을 확인하였음
  • 4월 15일부터 Exploit.in 관리자에 의해서 오픈 소스 mozilla를 기반으로 개발한 send.exploit.in 앱을 서비스하기 시작함
  • 현재까지 Hive 랜섬웨어의 제휴 파트너 활동이나 DDW 포럼에서의 활동 정보는 탐지되지 않음

B-3. teslarvng2

  • teslarvng2 랜섬웨어는 4월 16일부터 피해 기업인 pittbullsecure.com의 유출 정보를 Raidforums에 게시한 다음, 포럼 활동을 시작한 것으로 확인됨
  • 포럼 가입 날짜: 2021년 4월 16일
  • 첫 게시글 작성 날짜: 2021년 4월 16일
  • 최근 6월 25일에 업데이트한 피해 기업의 유출 정보는 mackwell.com 이며, 260GB 가량의 기업 내부 문서들이 포함되어 있음
  • 계약 문서, 연구 자료, 회계 자료 등

C. Babuk Builder 공유

https://twitter.com/GossiTheDog/status/1409117153182224386

https://www.virustotal.com/gui/file/82e560a078cd7bb4472d5af832a04c4bc8f1001bac97b1574efe9863d3f66550/detection

  • Babuk의 Payload 생성과 Babuk으로 암호화된 파일을 복호화를 할때 사용함
  • 테스트 결과, 실제로 Payload를 생성하는 행위와 curve25519 알고리즘에 의한 키파일이 생성되는 사실을 확인함
  • kp.curve25519
  • ks.curve25519
  • 기존에 공개된 Babuk 랜섬웨어 샘플의 Mutex, 암호화된 파일 확장자가 동일한 사실을 확인함
  • Mutex: DoYouWantToHaveSexWithCuongDong
  • 암호화된 파일 확장자: .babyk (ver4)

결론

  • 랜섬웨어들의 Builder 공개와 RaaS(Ransomware as a Service) 비지니스 형태로 크고 작은 랜섬웨어 그룹이 지속적으로 생겨나고 있으며, 신종 랜섬웨어에 대한 즉각 탐지 및 대응이 필요함.
  • 현재 Conti 랜섬웨어 Leak 사이트가 6월 25일에 16건을 업데이트하면서, 다시 피해 기업들을 대상으로 공격을 시도할 확률이 높아보임.
  • Prodaft 보고서에 대항하여 LockBit을 포함한 랜섬웨어 그룹들이 더욱 추적이 어렵고 견고한 Leak 사이트를 만들 것으로 보임.

--

--

--

S2W is a big data intelligence company specialized in the Dark Web, Deepweb and any other covert channels.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Hyunmin Suh

Hyunmin Suh

Principal Researcher @S2W LAB

More from Medium

Shutterfly hit by Ransomware attack

[SoY] 2021 | EN | Story of the Year: Ransomware on the Darkweb

Kaseya Ransomware Attack and the REvil Ransomware Gang

Ukraine resistance, dark web scams and a new CISO for Colonial Pipeline