Kant's IT/Issue on IT&Security

Black Basta 랜섬웨어 공격 방어 전략

Kant Jo 2025. 3. 8. 23:34

Defense Lessons From the Black Basta Ransomware Playbook | Qualys Security Blog

 

Defense Lessons From the Black Basta Ransomware Playbook | Qualys Security Blog

The cybersecurity world was rocked last week by a massive leak of Black Basta’s internal communications that emerged from the group’s chat logs. Triggered by internal conflicts and a retaliatory data…

blog.qualys.com

 

  • Black Basta 공격 분석
    • 최근 유출된 Black Basta 내부 채팅 기록을 통해 공격 전술 및 운영 방식을 파악
    • 공격 그룹은 주로 RDP 서버와 VPN 서비스의 노출된 취약점을 이용해 초기 접근을 시도
    • 취약한 인증 메커니즘과 오래된 CVE(공개된 취약점)를 활용해 시스템을 침투
  • 주요 공격 기법
    • 공격 벡터
      • 노출된 RDP 및 VPN 서비스 스캔
      • 공개된 취약점(CVEs) 악용
      • MSI 및 VBS 기반 악성 드로퍼 사용
      • Rundll32.exe를 통한 악성 DLL 실행
    • 취약점 목록 (상위 20개 CVE)
      • CVE-2022-30190 (Follina, Microsoft Office)
      • CVE-2021-44228 (Log4Shell, Apache Log4j)
      • CVE-2022-22965 (Spring4Shell, Spring Framework)
      • CVE-2022-1388 (F5 BIG-IP)
      • CVE-2024-21762 (Fortinet SSL VPN)
      • 그 외 다양한 Microsoft, Zimbra, Atlassian, Zyxel 관련 취약점 포함
  • 주요 취약한 설정 및 권장 조치
    • SMBv1 사용: 모든 Windows 서버에서 비활성화 권장
    • 기본 자격 증명 사용: 서버, 라우터, VPN, IoT 장비 모두 검토 필요
    • VPN 설정 강화: Cisco, Fortinet, GlobalProtect 환경에서 강력한 인증 적용
    • 노출된 RDP 차단: IP 필터링 및 다중 인증(MFA) 적용
    • 공개 S3 버킷: AWS 접근 제어 목록(ACL) 검토 및 설정 강화
  • 초기 접근 방법
    • 자격 증명 탈취 및 서비스 악용
      • 피싱, 공급망 공격, 다크웹 구매를 통한 자격 증명 확보
      • Shodan, Fofa와 같은 자동화 스캐너를 활용해 노출 서비스 식별
      • Jenkins CI/CD, VMware ESXi, Citrix 게이트웨이, VPN 서비스 등을 공격
  • 데이터 탈취 및 사회 공학 기법
    • 데이터 아카이브 및 추출
      • 주요 타겟: 법률 및 금융 문서
      • 맞춤형 툴을 사용해 자동화된 데이터 추출 수행
    • 사회 공학 공격
      • IT 지원 직원으로 가장해 전화 피싱 수행
      • 직원으로부터 인증 정보 획득 시도
  • 빠른 대응 필요성
    • Black Basta는 네트워크 초기 침투 후 수 시간 내에 전체 시스템을 장악
    • 자동화된 스크립트를 활용해 보안 툴 비활성화, 랜섬웨어 배포 등 수행
  • 보안 권고
    • 즉시 패치: Top 20 CVEs를 포함한 모든 취약점을 신속히 업데이트
    • 계정 보안 강화: 다중 인증(MFA) 적용 및 비정상 로그인 탐지 강화
    • 공격 표면 최소화
      • RDP, VPN 서비스 노출 차단
      • 필요 없는 포트 및 서비스 비활성화
    • 데이터 백업 및 복구 계획 마련
      • 오프라인 백업 유지 및 정기적인 복구 테스트 수행
  • 결론
    • 사이버 공격자들은 빠르게 진화하고 있음
    • 미리 예방하고 선제적으로 대응하는 것이 랜섬웨어 피해 최소화의 핵심
    • 자동화된 보안 도구 활용과 위협 인텔리전스 업데이트가 중요