랜섬웨어(Ransomware)란 몸값을 뜻하는 랜섬(ransom)과 악성코드(malware)의 합성어로 사용자의 컴퓨터가 랜섬웨어에 감염될 경우 중요 데이터가 암호화되며, 암호화된 데이터를 복구하기 위한 대가로 금전을 요구하는 악성코드를 말한다.
이번 기술 보고서의 주제인 블랙캣(BlackCat 또는 ALPHV) 랜섬웨어는 `21년 11월 전세계 처음으로 발견되었으며, RUST 프로그래밍 언어를 기반으로 한 최초의 랜섬웨어로 백신 탐지 확률이 낮으며 빠르게 암호화가 가능하고 다양한 운영체제 플랫폼에서 사용할 수 있는 특징이 있다.
특히 ‘22년 4월 美 FBI는 해당 랜섬웨어에 의한 피해 확산을 예방하기 위해 공격 IoC(Indicators of Compromise) 공개했으며, 국내에서도 `22년 7월 이후 현재까지 제조업체를 대상으로 총 5건의 피해가 확인되었다. 이에 한국인터넷진흥원과 플레인비트는 신고된 피해 기업의 분석을 통해 발견된 공격자들의 공격 방법과 전략에 따른 대응방안(ATT&CK 프레임워크)을 소개하여 유사 사고사례를 예방하고자 한다.
블랙캣 랜섬웨어 해킹그룹의 기업 침투단계는 아래와 같다.
공격자는 다크웹* 및 무작위 대입 공격을 통해 기업의 VPN 계정을 탈취하여 내부 시스템에 접근한다. 아래 내용는 무작위 대입 공격을 통한 VPN 계정 탈취 로그이다.
* 다크웹에 공개되어 있거나 판매되고 있는 VPN계정 구매
<aside> 📎 무작위 대입 공격을 통한 VPN 계정 탈취 로그(VPN로그)
date=2023-03-13 time=15:52:26 logid="0101039949" type="event" subtype="vpn" level="information" vd="root" eventtime=1678690346495768584 tz="+0900" logdesc="SSL VPN statistics" action="tunnel-stats" tunneltype="ssl-tunnel" tunnelid=860146678 remip=42.116.XX.XX tunnelip=20.20.20.3 user="son" group="SSLVPN" dst_host="N/A" nextstat=600 duration=17443 sentbyte=180445045 rcvdbyte=22665554 msg="SSL tunnel statistics"
(중간생략)
date=2023-03-13 time=15:44:30 logid="0101039949" type="event" subtype="vpn" level="information" vd="root" eventtime=1678689871043048253 tz="+0900" logdesc="SSL VPN statistics" action="tunnel-stats" tunneltype="ssl-tunnel" tunnelid=860146687 remip=42.116.XX.XX tunnelip=20.20.20.1 user="long" group="SSLVPN" dst_host="N/A" nextstat=600 duration=1203 sentbyte=16083894 rcvdbyte=2583989 msg="SSL tunnel statistics"
</aside>