Kant's IT/Issue on IT&Security

Dark Angels 랜섬웨어: Windows 및 Linux/ESXi 시스템 공격

Kant Jo 2024. 11. 12. 11:31

Dark Angels Ransomware Attacking Windows And Linux/ESXi Systems

 

  • Dark Angels 그룹 개요
    • Dark Angels는 2022년부터 활동 중인 고도화된 랜섬웨어 그룹으로, 대형 기업을 대상으로 Babuk, RTM Locker, RagnarLocker와 같은 제3자 랜섬웨어를 사용해 WindowsLinux/ESXi 시스템을 암호화함
    • 데이터 탈취에 중점을 두며, 이중 협박(double extortion) 전술을 사용하여 데이터 공개를 막기 위한 몸값을 요구
  • 전술 변화 및 발전
    • 2023년부터 Telegram과 자체 데이터 유출 사이트(Dunghill Leak)에서 탈취한 데이터를 공개
    • RTM LockerRansomware-as-a-Service(RaaS) 형태로 사용하고, Linux/ESXi 암호화를 위해 RagnarLocker를 사용함
    • 피싱 이메일공개된 애플리케이션의 취약점(CVE-2023-22069)을 악용하여 기업 네트워크에 침투
  • 공격 방식
    • 내부 침투 후 도메인 관리자 계정을 확보하기 위한 권한 상승을 진행하고, 민감한 데이터를 탈취
    • 탈취한 데이터는 최대 100TB에 달하며, 대규모 데이터를 전송하는 데 몇 주가 소요될 수 있음
    • 파일 암호화 전, 기업에 미치는 영향을 최소화하는 방식으로 전략적으로 랜섬웨어를 배포하여 비즈니스 운영 중단을 줄임
  • 암호화 기술
    • Windows 시스템에서는 RTM Locker 변종을 사용하여 ChaCha20ECC를 기반으로 암호화
    • Linux/ESXi 시스템에서는 RagnarLocker 변종을 통해 secp256k1 ECCAES-256-CBC를 결합한 암호화를 수행
    • 파일 암호화 시, ECDH 키 교환을 통해 시스템별 공개 키비밀 키를 생성하고, 공유된 비밀로 파일을 암호화함
  • 성공 요인
    • 다른 랜섬웨어 그룹과 달리 Dark Angels는 제3자 공격자 네트워크에 의존하지 않고 독립적으로 운영하며, 목표한 기업에 대한 정밀한 공격을 수행
    • 기업 운영에 최소한의 영향을 주는 방식으로 랜섬웨어를 배포하여, 공격 대상의 비즈니스에 큰 영향을 미치지 않도록 조정
    • 이러한 전략적 접근 덕분에 미디어 노출을 피하면서도 큰 몸값을 요구하는 데 성공함
  • 주요 피해 사례
    • 2024년 3월, 한 기업으로부터 7,500만 달러의 기록적인 몸값을 받음
    • 의료, 기술, 제조, 통신 등 다양한 산업을 대상으로 공격을 확대함
  • 시사점
    • 기업들은 피싱 이메일공개된 애플리케이션의 취약점을 적극적으로 방어하고, 네트워크 내부에서의 이상 활동을 모니터링하여 데이터 유출을 방지해야 함
    • 암호화 및 데이터 탈취에 대한 대응책을 마련하고, 민감한 데이터에 대한 접근을 제한하는 것이 중요