Dark Angels Ransomware Attacking Windows And Linux/ESXi Systems
- Dark Angels 그룹 개요
- Dark Angels는 2022년부터 활동 중인 고도화된 랜섬웨어 그룹으로, 대형 기업을 대상으로 Babuk, RTM Locker, RagnarLocker와 같은 제3자 랜섬웨어를 사용해 Windows 및 Linux/ESXi 시스템을 암호화함
- 데이터 탈취에 중점을 두며, 이중 협박(double extortion) 전술을 사용하여 데이터 공개를 막기 위한 몸값을 요구
- 전술 변화 및 발전
- 2023년부터 Telegram과 자체 데이터 유출 사이트(Dunghill Leak)에서 탈취한 데이터를 공개
- RTM Locker를 Ransomware-as-a-Service(RaaS) 형태로 사용하고, Linux/ESXi 암호화를 위해 RagnarLocker를 사용함
- 피싱 이메일과 공개된 애플리케이션의 취약점(CVE-2023-22069)을 악용하여 기업 네트워크에 침투
- 공격 방식
- 내부 침투 후 도메인 관리자 계정을 확보하기 위한 권한 상승을 진행하고, 민감한 데이터를 탈취
- 탈취한 데이터는 최대 100TB에 달하며, 대규모 데이터를 전송하는 데 몇 주가 소요될 수 있음
- 파일 암호화 전, 기업에 미치는 영향을 최소화하는 방식으로 전략적으로 랜섬웨어를 배포하여 비즈니스 운영 중단을 줄임
- 암호화 기술
- Windows 시스템에서는 RTM Locker 변종을 사용하여 ChaCha20과 ECC를 기반으로 암호화
- Linux/ESXi 시스템에서는 RagnarLocker 변종을 통해 secp256k1 ECC와 AES-256-CBC를 결합한 암호화를 수행
- 파일 암호화 시, ECDH 키 교환을 통해 시스템별 공개 키와 비밀 키를 생성하고, 공유된 비밀로 파일을 암호화함
- 성공 요인
- 다른 랜섬웨어 그룹과 달리 Dark Angels는 제3자 공격자 네트워크에 의존하지 않고 독립적으로 운영하며, 목표한 기업에 대한 정밀한 공격을 수행
- 기업 운영에 최소한의 영향을 주는 방식으로 랜섬웨어를 배포하여, 공격 대상의 비즈니스에 큰 영향을 미치지 않도록 조정
- 이러한 전략적 접근 덕분에 미디어 노출을 피하면서도 큰 몸값을 요구하는 데 성공함
- 주요 피해 사례
- 2024년 3월, 한 기업으로부터 7,500만 달러의 기록적인 몸값을 받음
- 의료, 기술, 제조, 통신 등 다양한 산업을 대상으로 공격을 확대함
- 시사점
- 기업들은 피싱 이메일과 공개된 애플리케이션의 취약점을 적극적으로 방어하고, 네트워크 내부에서의 이상 활동을 모니터링하여 데이터 유출을 방지해야 함
- 암호화 및 데이터 탈취에 대한 대응책을 마련하고, 민감한 데이터에 대한 접근을 제한하는 것이 중요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
파일 호스팅 서비스를 악용한 피싱 공격 (4) | 2024.11.13 |
---|---|
게임 속임수 스크립트 엔진을 통해 확산된 Lua 기반 악성코드 (5) | 2024.11.12 |
LNK 메타데이터 악용 (0) | 2024.11.12 |
2024년 상반기 스미싱 피해 급증: 약 88만 건 접수 (0) | 2024.11.12 |
Google 검색 인터페이스 A/B 테스트 보안 우려 (0) | 2024.11.11 |