EvilCorp와 RansomHub의 협업을 통한 글로벌 랜섬웨어 위협 고도화 분석

EvilCorp and RansomHub Collaborate to Launch Worldwide Attacks on Organizations

EvilCorp and RansomHub Collaborate to Launch Worldwide Attacks on Organizations

 

• 공격 주체 개요
  • EvilCorp
    • 러시아 기반 사이버 범죄 조직으로 금융 기반 공격에 전문화
    • 과거 Dridex, BitPaymer, WastedLocker, PhoenixLocker 등을 통해 대규모 공격 수행
    • 미국 재무부 해외자산통제국(OFAC)에 의해 2019년 제재 대상 지정
    • 러시아 정보기관과의 연계성 및 내부 보호망을 기반으로 활동 지속
    • 주요 감염 벡터로 SocGholish(FAKEUPDATES) 악성코드 사용
  • RansomHub
    • 2024년 2월 등장한 랜섬웨어 서비스(Ransomware-as-a-Service, RaaS) 운영체
    • BlackCat(ALPHV), LockBit 해체 이후 해당 조직의 Affiliate 유입
    • 다양한 기술 및 백도어(VIPERTUNNEL 등) 사용하며 빠르게 영향력 확장
• 주요 공격 방식 및 특징
  • 협업 방식
    • EvilCorp의 초기 침투 및 사회공학적 수법과 RansomHub의 배포 인프라 결합
    • SocGholish 악성코드를 통한 브라우저 업데이트 위장 및 초기 침입
    • Python 기반 백도어(VIPERTUNNEL) 설치를 통한 정보 탈취 및 C2 제어
    • 공격 대상 시스템의 운영체제 및 환경에 따라 다양한 도구를 선택적으로 사용
  • 감염 경로
    • 사용자 브라우저 위장 업데이트(SocGholish)를 통한 악성코드 설치
    • RaaS 기반으로 각 Affiliate가 다양한 침투 경로 및 도구 사용
  • 데이터 탈취 및 이중 갈취 전략
    • 피해자의 민감 정보 탈취 후 데이터 유출 위협을 통한 금전 요구
    • 랜섬웨어 암호화 외에도 유출된 데이터의 유포를 빌미로 협박
• 보안 및 법률적 우려사항
  • 미국 제재와의 연계성
    • EvilCorp와의 연계된 RansomHub에 몸값을 지불할 경우 OFAC 제재 위반 가능성 존재
    • 보험 청구 및 법적 대응에 복잡성 가중
  • 법 집행 회피 전략
    • 조직의 재브랜딩 가능성 존재 (과거 EvilCorp 사례 참고)
    • 제재 대상 회피를 위한 명칭 변경, 인프라 이전, 신형 랜섬웨어 개발 가능성
• 보안 권고
  • 보안 운영 방안
    • SocGholish 기반 감염 경로 차단을 위한 사용자 행위 분석 및 브라우저 콘텐츠 검증 강화
    • Python 기반 백도어 탐지 룰 마련 및 의심 스크립트 실행 차단
    • 다단계 인증(MFA) 및 네트워크 세분화(Segmentation) 적용
  • 침해 대응 및 위협 인텔리전스
    • RaaS 연계 공격 특성을 고려한 IOC 기반 탐지 룰 주기적 갱신
    • 업계 간 위협 인텔리전스 공유 활성화
    • 피해 발생 시 OFAC 제재 여부 확인 및 대응 매뉴얼 구비
  • 조직 차원의 사전 방지 대책
    • 사이버 보험사 및 법률자문과의 사전 협의 통해 제재 위험 요소 사전 식별
    • 글로벌 위협 그룹 분석 자료에 대한 주기적 검토와 대응 체계 반영
• 결론
  • EvilCorp와 RansomHub의 협업은 단일 조직의 공격을 넘는 광범위한 위협 구조를 형성
  • 랜섬웨어의 단순 암호화 모델에서 벗어나 데이터 탈취 및 다단계 협박으로 전환
  • 제재 대상과 연계된 공격의 경우 법적, 보험적 측면까지 고려한 전사적 대응 필요
  • 실시간 위협 탐지, 유사 도구 행동 기반 분석, 위협 그룹 프로파일링이 핵심 대응 전략