BlackLock Ransomware Targets Windows, VMware ESXi, & Linux Environments
BlackLock Ransomware Targets Windows, VMware ESXi, & Linux Environments
BlackLock ransomware, first identified in March 2024, has rapidly ascended the ranks of the ransomware-as-a-service (RaaS) ecosystem.
gbhackers.com
- BlackLock 랜섬웨어 개요
- 2024년 3월 최초 발견되어 빠르게 랜섬웨어 서비스(RaaS) 생태계에서 주요 그룹으로 부상
- 2024년 말 데이터 유출 사이트에서 일곱 번째로 활발한 그룹으로 확인
- 이중 갈취 전략(double extortion) 사용: 데이터 암호화와 동시에 민감 정보 탈취
- 공격 대상 및 기술적 특징
- Windows, VMware ESXi, Linux 시스템을 모두 공격
- Linux 변종은 Windows 변종에 비해 기능이 제한적
- 자체 개발한 커스텀 악성코드 사용으로 보안 연구원의 분석 및 대응 어려움 증가
- 데이터 유출 사이트에서 피해자와 조사자의 분석 지연을 유도하기 위해 허위 파일과 빈 응답 제공
- 전략적 포럼 활동 및 인력 모집
- 러시아어 랜섬웨어 포럼 RAMP에서 활발한 활동을 통해 사이버 범죄자들과 관계 강화
- 타 그룹 대비 9배 이상의 포럼 게시글 작성
- 역할별 맞춤형 모집 진행
- 트래픽 유도 담당(traffers) 공개 모집 및 수익 공유 약속
- 개발자 등 핵심 역할은 비공개 채널을 통해 신중히 모집
- 대규모 공격 직전에 모집 활동 강화 사례 발견
- 공격 벡터 확대: Microsoft Entra Connect 취약점 노림
- 2025년 전략으로 Microsoft Entra Connect 동기화 메커니즘 취약점 악용 준비
- 사용자 속성(msDS-KeyCredentialLink) 조작을 통해 하이브리드 클라우드 환경에서 권한 상승 가능
- 단일 테넌트 내 다중 도메인 관리 조직에 심각한 위협 발생
- 기존 보안 제어 우회 및 신뢰된 내부 통신 메커니즘 악용 시도
- 보안 권고
- 인프라 강화
- VMware ESXi 호스트의 불필요한 서비스 비활성화 및 엄격한 잠금 모드 적용
- 중요 속성 모니터링
- msDS-KeyCredentialLink와 같은 민감 속성 주기적 감사 및 키 등록 제한
- 탐지 및 대응 강화
- 그림자 복사본 삭제 및 해시 전달(pass-the-hash) 공격 탐지를 위한 규칙 적용
- 위협 인텔리전스와 사고 대응 기능 통합을 통한 지속적 모니터링 필요
- 인프라 강화
- 결론
- BlackLock은 커스텀 악성코드와 활발한 커뮤니티 활동으로 빠르게 영향력 확대
- 하이브리드 클라우드 및 IAM 시스템 공격은 새로운 위협 흐름을 보여줌
- 조직은 사전 대응과 실시간 탐지 역량 강화를 통해 해당 위협에 대비해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 북한 해커 조직의 프리랜서 개발자 대상 악성코드 배포 캠페인 분석 (1) | 2025.02.24 |
|---|---|
| 북한 해킹 조직의 Dropbox 및 PowerShell 스크립트 악용 공격 분석 (0) | 2025.02.24 |
| 서버리스 컴퓨팅의 현실과 하이브리드 접근의 필요성 (0) | 2025.02.23 |
| 2025년도 금융감독원 검사업무 운영계획 및 내부통제 강화 방안 (0) | 2025.02.23 |
| 다크패턴(Dark Patterns)의 개념과 특징 (0) | 2025.02.23 |