Black Basta 랜섬웨어 공격 방어 전략

Defense Lessons From the Black Basta Ransomware Playbook | Qualys Security Blog

Defense Lessons From the Black Basta Ransomware Playbook | Qualys Security Blog

 

• Black Basta 공격 분석
  • 최근 유출된 Black Basta 내부 채팅 기록을 통해 공격 전술 및 운영 방식을 파악
  • 공격 그룹은 주로 RDP 서버와 VPN 서비스의 노출된 취약점을 이용해 초기 접근을 시도
  • 취약한 인증 메커니즘과 오래된 CVE(공개된 취약점)를 활용해 시스템을 침투
• 주요 공격 기법
  • 공격 벡터
    • 노출된 RDP 및 VPN 서비스 스캔
    • 공개된 취약점(CVEs) 악용
    • MSI 및 VBS 기반 악성 드로퍼 사용
    • Rundll32.exe를 통한 악성 DLL 실행
  • 취약점 목록 (상위 20개 CVE)
    • CVE-2022-30190 (Follina, Microsoft Office)
    • CVE-2021-44228 (Log4Shell, Apache Log4j)
    • CVE-2022-22965 (Spring4Shell, Spring Framework)
    • CVE-2022-1388 (F5 BIG-IP)
    • CVE-2024-21762 (Fortinet SSL VPN)
    • 그 외 다양한 Microsoft, Zimbra, Atlassian, Zyxel 관련 취약점 포함
• 주요 취약한 설정 및 권장 조치
  • SMBv1 사용: 모든 Windows 서버에서 비활성화 권장
  • 기본 자격 증명 사용: 서버, 라우터, VPN, IoT 장비 모두 검토 필요
  • VPN 설정 강화: Cisco, Fortinet, GlobalProtect 환경에서 강력한 인증 적용
  • 노출된 RDP 차단: IP 필터링 및 다중 인증(MFA) 적용
  • 공개 S3 버킷: AWS 접근 제어 목록(ACL) 검토 및 설정 강화
• 초기 접근 방법
  • 자격 증명 탈취 및 서비스 악용
    • 피싱, 공급망 공격, 다크웹 구매를 통한 자격 증명 확보
    • Shodan, Fofa와 같은 자동화 스캐너를 활용해 노출 서비스 식별
    • Jenkins CI/CD, VMware ESXi, Citrix 게이트웨이, VPN 서비스 등을 공격
• 데이터 탈취 및 사회 공학 기법
  • 데이터 아카이브 및 추출
    • 주요 타겟: 법률 및 금융 문서
    • 맞춤형 툴을 사용해 자동화된 데이터 추출 수행
  • 사회 공학 공격
    • IT 지원 직원으로 가장해 전화 피싱 수행
    • 직원으로부터 인증 정보 획득 시도
• 빠른 대응 필요성
  • Black Basta는 네트워크 초기 침투 후 수 시간 내에 전체 시스템을 장악
  • 자동화된 스크립트를 활용해 보안 툴 비활성화, 랜섬웨어 배포 등 수행
• 보안 권고
  • 즉시 패치: Top 20 CVEs를 포함한 모든 취약점을 신속히 업데이트
  • 계정 보안 강화: 다중 인증(MFA) 적용 및 비정상 로그인 탐지 강화
  • 공격 표면 최소화
    • RDP, VPN 서비스 노출 차단
    • 필요 없는 포트 및 서비스 비활성화
  • 데이터 백업 및 복구 계획 마련
    • 오프라인 백업 유지 및 정기적인 복구 테스트 수행
• 결론
  • 사이버 공격자들은 빠르게 진화하고 있음
  • 미리 예방하고 선제적으로 대응하는 것이 랜섬웨어 피해 최소화의 핵심
  • 자동화된 보안 도구 활용과 위협 인텔리전스 업데이트가 중요