Kant's IT/Issue on IT&Security

Ghost (Cring) 랜섬웨어 위협 분석 보고서

Kant Jo 2025. 3. 24. 16:00

Dark Web Profile: Ghost (Cring) Ransomware - SOCRadar® Cyber Intelligence Inc.

 

Dark Web Profile: Ghost (Cring) Ransomware - SOCRadar® Cyber Intelligence Inc.

Ghost (Cring) ransomware is a financially motivated threat actor known for targeting vulnerable networks to encrypt critical data and demand...

socradar.io

 

  • 개요
    • Ghost (Cring)는 최소 2021년부터 활동한 금전적 목적의 랜섬웨어 공격 그룹
    • 주로 취약한 인터넷 연결 시스템을 표적으로 하며, 운영 의존도가 높은 산업을 타깃으로 삼음
    • 미국 사이버보안청(CISA), FBI, MS-ISAC가 2025년 2월 공동 권고문을 발표
  • 주요 표적 산업군
    • 헬스케어 및 금융
      • 민감한 환자 정보와 트랜잭션 데이터로 인해 공격자에게 매력적인 대상
    • 정부 및 중요 인프라
      • 에너지, 수도 등 공공기관을 표적으로 서비스 중단 유도
    • 제조 및 산업 제어 시스템
      • 구형 시스템과 취약한 소프트웨어 환경으로 인해 높은 위험도 존재
    • 교육 및 전문 서비스
      • 지적 재산과 민감한 클라이언트 정보 탈취 목적
    • 유통 및 전자상거래
      • 고객 데이터와 결제 시스템을 목표로 서비스 마비 및 신뢰도 하락 유도
  • 공격 전술 및 기법 (MITRE ATT&CK 기반)
    • 초기 침투
      • CVE-2018-13379 (FortiOS VPN 디렉터리 트래버설) 등 공공 취약점 악용 (T1190)
    • 실행 및 배포
      • PsExec, WMI를 통한 원격 실행 (T1047, T1059.001, T1059.003)
      • Cobalt Strike Beacon 악성코드 활용
    • 권한 상승 및 측면 이동
      • CVE-2020-1472 등 공개 취약점, 자격 증명 덤프(Mimikatz 등) 사용 (T1068, T1134.001)
    • 방어 회피 및 탐지 우회
      • 백신 비활성화, Windows Defender 종료 (T1562.001, T1564.003)
    • 정보 수집 및 유출
      • 도메인 관리자 계정, 공유 폴더, 보안 솔루션 탐지 (T1087.002, T1135, T1518.001)
      • 웹쉘, Mega.nz 통한 외부 전송 (T1041, T1567.002)
    • 명령 및 제어
      • HTTP/HTTPS 기반 C2 통신, PowerShell 인코딩 및 암호화 채널 사용 (T1071.001, T1132.001, T1573)
    • 영향
      • AES-256 + RSA-2048 기반 파일 암호화 및 확장자 변경 (T1486)
      • 볼륨 섀도 복사본 삭제로 복구 방지 (T1490)
  • 악성 도구 및 IOCs
    • 도구
      • Cobalt Strike, SharpGPPPass, SharpShares, IOX, Ladon 911, Web Shell 등 사용
    • 해시값
      • Cring.exe: c5d712f82d5d37bb284acd4468ab3533
      • Ghost.exe: 34b3009590ec2d361f07cac320671410 외 다수
    • 이메일 주소
    • TOX ID
      • EFE31926F41889DBF6588F27A2EC3A2D7DEF7D2E9E0A1DEFD39B976A49C11F0E19E03998DBDA 외 1건
  • 보안 권고
    • 네트워크 및 엔드포인트 보안
      • EDR/XDR 솔루션 도입, 네트워크 분리, 불필요 서비스(RDP, SMBv1) 비활성화
    • 계정 및 접근 통제
      • 다중 인증(MFA), 권한 최소화, 강력한 패스워드 정책 적용
    • 소프트웨어 및 패치 관리
      • CVE-2018-13379, CVE-2020-1472 등 주요 취약점 즉시 패치
    • 이메일 및 웹 보안
      • 이메일 필터링, 매크로 차단, DNS 기반 접근 제어
    • 백업 및 대응 체계
      • 정기 백업 및 복구 테스트, 침해사고 대응 계획 수립 및 훈련
    • 탐지 및 모니터링
      • 이상 파일 암호화 탐지, 주요 IoC 지속 모니터링
  • 결론
    • Ghost (Cring)는 낮은 탐지율과 고도화된 공격 기법으로 위협도가 높은 랜섬웨어 그룹
    • 다계층 방어 전략과 최신 보안 패치 적용이 핵심 대응 방안
    • 공격자 TTP에 기반한 탐지와 인텔리전스 기반 대응 체계 마련이 필요
저작자표시 비영리 변경금지

'Kant's IT > Issue on IT&Security' 카테고리의 다른 글

대규모 공격 캠페인, 4,000개 이상 ISP 네트워크 대상 인포스틸러 및 크립토 마이너 배포  (0) 2025.03.24
DragonForce 랜섬웨어 분석  (0) 2025.03.24
Microsoft, VBS Enclave 보안 강화를 위한 기술 권고사항 발표  (0) 2025.03.24
이란 연계 해킹조직, 인도 기업 이메일 탈취해 UAE 항공 분야 표적 공격  (0) 2025.03.24
Microsoft, Windows 11 24H2 및 Windows Server 2025에서 DES 암호화 제거  (0) 2025.03.24

'Kant's IT/Issue on IT&Security'의 다른글

  • 현재글Ghost (Cring) 랜섬웨어 위협 분석 보고서

관련글

티스토리툴바