2023년 2분기 알약 betman 토토 행위기반 차단 건수 총 43,645건!

안녕하세요. 이스트시큐리티시큐리티대응센터(ESRC)입니다.

2023년 2분기 자사 백신 프로그램 ‘알약’에 탑재되어 있는 ‘betman 토토 행위기반 사전 차단’기능을 통해 총 43,645건의 betman 토토 공격을 차단했으며, 이를 일간 기준으로 환산하면 일 평균 485건의 betman 토토 공격이 차단된 것으로 볼 수 있습니다.

이번통계는개인사용자를대상으로무료제공하는공개용알약백신프로그램의‘betman 토토행위기반사전차단기능’을통해차단된공격만을집계한결과입니다.

이밖에ESRC에서선정한2023년2분기주요betman 토토동향은다음과같습니다.

1)babukbetman 토토소스코드를이용한betman 토토변종의대거등장
2) 암호화 속도가 가장 빠른 로르샤흐(Rorschach) 랜섬웨어 등장
3) 윈도우, 리눅스 및 맥OS를 모두 감염시킬 수 있는 새로운 betman 토토
4) betman 토토의 공격방식도 지속적으로 진화하고 있습니다.
5) 중소기업만 노리는 랜섬웨어인 에잇베이스(8base) 랜섬웨어의 활동 급증하였습니다.

BabukLocker랜섬웨어는21년1월처음등장한기업용랜섬웨어로,피해자에따라고유확장자,랜섬노트,TorURL등을달리하였을뿐만아니라이중갈취전략을사용하며활발한활동을이어나갔습니다.하지만21년6월말,어떠한이유에서인지BabukLocker의랜섬웨어빌더가온라인에유출되었습니다.

이후22년하반기및23년상반기에BabukLocker소스코드를이용해제작된랜섬웨어들의변종들이대거발견되었으며,2023년4월에처음발견된RAGroup랜섬웨어역시Babuk랜섬웨어의유출된코드를활용하여제작되었습니다.
RAGroup랜섬웨어는2023년4월22일다크웹에데이터유출사이트를개설하며외부에알려졌습니다.주로미국과한국의제조,자산관리,보험,제약등의사업분야를타깃으로하며,국내의제약회사한곳도해당랜섬웨어그룹의공격으로인해내부정보가유출되었습니다.

이 밖에도 AstraLocker, Mario, RTMLocker 랜섬웨어 등 많은 랜섬웨어들이 유출된 Babuk Locker 소스코드를 재활용하여 제작된 것으로 확인되었습니다. 많은 공격자들이 Babuk Locker 소스코드를 이용하는 이유는 Linux 기반의 랜섬웨어로 ESXi 서버를 대상으로 하는 공격에 사용할 수 있기 때문이라고 추측하고 있습니다.

로르샤흐(Rorschach)라는이름의새로운랜섬웨어가발견되었습니다.

RaaS세계에서빠른암호화속도는다른랜섬웨어들과의경쟁력조건중하나입니다.Lockbit3.0랜섬웨어는지금까지발견된랜섬웨어들중암호화속도가가장빨랐습니다.하지만Lockbit3.0랜섬웨어보다암호화속도가약2배더빠른로르샤흐(Rorschach)라는이름의새로운랜섬웨어가발견되었습니다.

이betman 토토는23년4월처음발견되었으며,해당betman 토토역시Babukbetman 토토코드의변종으로확인되었습니다.

로르샤흐betman 토토는상용보안SW의서명된구성요소를사용하여유포되었습니다.Windows도메인컨트롤러(DC)에서실행될때자동으로그룹정책을생성하여네트워크를통해빠르게전파되며"syscall"명령을사용하여직접시스템호출을수행합니다.LockBit및Babuk을포함한다른많은betman 토토변종과마찬가지로로르샤흐betman 토토역시전체파일내용이아닌파일의일부만암호화하여암호화속도를향상시키고효율성을높혔습니다.다만,이중갈취를위해데이터를유출하지는않는것으로확인되었습니다.

윈도우,리눅스및맥OS를모두감염시킬수있는새로운betman 토토가발견되었습니다.

새로발견된Cyclops공격그룹은RaaS서비스를통해윈도우,리눅스및맥OS를모두감염시킬수있는betman 토토를제공합니다.MacOS및Linux버전의Cyclopsbetman 토토는Go언어로작성되어있으며,비대칭암호화및대칭암호화가혼합된복잡한암호알고리즘을사용합니다.뿐만아니라다양한민감데이터를탈취하기위하여Go기반의인포스틸러도제공합니다.이인포스틸러는Windows및Linux시스템을대상으로설계되어운영체제정보,컴퓨터이름,특정확장자와일치하는파일등의세부정보를캡쳐하며,특정확장자파일에대해서는수집하여원격서버로전송합니다.

Cyclopsbetman 토토의암호화알고리즘및문자열난독화기술은Babukbetman 토토와LockBitbetman 토토와유사하여,이두betman 토토와의연관성이있다고추측되고있습니다.

betman 토토의공격방식도지속적으로진화하고있습니다.

BlackCatbetman 토토는최근보안SW를탐지를피하기위하여서명된악성Windows커널드라이버를사용하는것이포착되었습니다.분석결과악성윈도우커널드라이버는22년말betman 토토공격에사용된푸어트리(POORTRY)악성코드의업데이트버전으로,MS윈도우하드웨어개발자프로그램에서도난당한키를사용해서명된윈도우커널드라이버입니다.공격자는탈취하거나유출된교차서명인증서를통해서명된업데이트된POORTRY커널드라이버를배포하였으며,이를이용하여해킹된시스템에서권한상을을하고보안에이전트와관련된프로세스를중지하는등의기능을수행합니다.

최소한의흔적만을남겨분석을어렵게하는랩쳐(Rapture)라는betman 토토가발견되었습니다.

해당betman 토토는RSA키구성파일을사용하고.net실행파일로컴파일한다는점에서파라다이스betman 토토와유사하지만Themida를이용하여패킹하고최소한의흔적만을남겨분석을어렵게한특징이있습니다.

23년6월에는Clop랜섬웨어그룹이MFT솔루션인무브잇Transfer에서SQL인젝션취약점을이용하여공격을진행하는것이확인되었습니다.분석결과,클롭(Clop)랜섬웨어는이미2년전에해당취약점에대해이미알고있었으며,2021년7월부터해당취약점을익스플로잇할수있는방법에대해여러실험을진행하였다는점이확인되었습니다.하지만클롭조직은무브잇취약점을이용한공격을진행하지않고있다가,23년6월1일부터공격을시작하였으며,BBC,영국항공등무브잇트랜스퍼를사용하는많은기업들이피해를입었습니다.

중소기업만노리는랜섬웨어인에잇베이스(8base)랜섬웨어의활동급증하였습니다.

에잇베이스(8base)랜섬웨어는22년3월처음등장하였지만활발한활동을하지않았습니다.이랜섬웨어는주로보안이취약한중소기업들을공격대상으로삼으며,23년4~5월까지는소수의공격만진행했지만6월부터그활동이급증하였으며현재까지이미80개가넘는조직이해당랜섬웨어에공격을당한것으로확인되었으며,6월한달간가장많은공격을진행한랜섬웨어그룹순위중2위를차지하였습니다.해당랜섬웨어에대해분석을한결과랜섬노트와유출사이트가RansomHouse랜섬웨어와매우유사하여RansomHouse와관련이있을것으로추정하였지만,또다른분석가는8base랜섬웨어가최근공격에서사용한이메일확장자가Phobos랜섬웨어가사용한이메일주소와동일한점을이유로Phobos랜섬웨어와관련이있는것이아닌지추정하고있다.하지만8base랜섬웨어와관련하여아직알려진것이많이없어확실한건아직아무것도없습니다.

이 밖에 ESRC에서 선정한 2023년 1분기 새로 발견되었거나 주목할 만한 betman 토토는 다음과 같습니다.

이스트시큐리티는 betman 토토 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 betman 토토 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.