기술 지원
문서
로그인
문의하기
새로운 랜섬웨어 도구는 고유한 전술을 사용하여 데이터를 손상시킵니다.
2022년 10월 6일 TuxCare 홍보팀
현재 위협 행위자들은 데이터 유출 도구인 Exmatter에 고유한 데이터 손상 기능을 업데이트하고 있으며, 공격자들은 향후 랜섬웨어 공격을 수행하기 위해 이 기능을 변경할 수 있습니다.
이 새로운 고유 데이터 손상 기능은 최근 사고 대응 과정에서 Cyderes 특수 작전팀과 협력하는 멀웨어 분석가들이 발견했습니다.
기본적으로 이 수법은 유출된 파일의 데이터를 사용하여 다른 파일을 손상시키는 것입니다. 보안 연구원들은 무작위로 생성된 데이터를 사용하면 랜섬웨어 또는 와이퍼 휴리스틱 기반 탐지를 우회하려는 시도라고 생각합니다.
"파일이 액터가 제어하는 서버에 업로드되면 원격 서버에 성공적으로 복사된 파일은 Eraser라는 클래스에 의해 처리되도록 대기열에 추가됩니다. 두 번째 파일의 시작 부분에서 시작하는 임의의 크기의 세그먼트를 버퍼로 읽은 다음 첫 번째 파일의 시작 부분에 기록하여 덮어쓰고 파일을 손상시킵니다."
연구원들은 이 새로운 도구가 랜섬웨어 조직이 사용하는 전략을 바꿀 것이라고 믿습니다. 랜섬웨어는 오랫동안 서비스형 랜섬웨어로 운영되어 왔으며, 이는 운영자/개발자가 랜섬웨어 개발, 결제 사이트, 협상 처리를 담당하고 계열사가 기업 네트워크 중단, 데이터 탈취, 백업 삭제, 디바이스 암호화를 위해 참여하는 것을 의미합니다.
하지만 이러한 구조는 계열사에게 불리하게 작용합니다. 랜섬웨어 작전에는 보안 연구자들이 피해자가 무료로 파일을 복구할 수 있는 암호 해독기를 만들 수 있는 버그가 도입됩니다.
지불 합의에 따라 랜섬웨어 운영자는 15~30%를 받고 나머지는 제휴사가 받지만, 보안 연구원이 복호화 프로그램을 만드는 경우 제휴사는 몸값 지불의 일부로 받을 수 있었던 모든 잠재적 수익을 잃게 됩니다.
그러나 새로운 데이터 손상 기능을 사용하면 데이터를 탈취한 후 암호화하는 기존의 랜섬웨어 공격에서 데이터를 탈취한 후 삭제하거나 손상시키는 공격으로 전환될 수 있습니다.
이 방법을 사용하면 제휴사는 암호화 개발자와 일정 비율을 공유할 필요가 없으므로 공격으로 인한 모든 수익을 보유할 수 있습니다.
이 글의 출처는 BleepingComputer의 기사입니다.
