기술 지원
문서
로그인
문의하기
현재 위협 행위자들은 데이터 유출 도구인 Exmatter에 고유한 데이터 손상 기능을 업데이트하고 있으며, 공격자들은 이를 통해 향후 랜섬웨어 공격을 수행하기 위해 이 기능을 전환할 수 있습니다.
이 새로운 고유 데이터 손상 기능은 최근 사고 대응 과정에서 Cyderes 특수 작전팀과 협력하는 멀웨어 분석가들이 발견했습니다.
기본적으로 이 수법은 유출된 파일의 데이터를 사용하여 다른 파일을 손상시키는 것입니다. 보안 연구자들은 무작위로 생성된 데이터를 사용하면 랜섬웨어 또는 와이퍼 휴리스틱 기반 탐지를 우회하려는 시도라고 보고 있습니다.
"파일이 액터가 제어하는 서버에 업로드되면 원격 서버에 성공적으로 복사된 파일은 Eraser라는 클래스에 의해 처리되도록 대기열에 대기합니다. 두 번째 파일의 시작 부분에서 시작하는 임의의 크기의 세그먼트를 버퍼로 읽은 다음 첫 번째 파일의 시작 부분에 기록하여 덮어쓰고 파일을 손상시킵니다."
연구원들은 이 새로운 도구가 랜섬웨어 조직이 사용하는 전략을 바꿀 것이라고 믿습니다. 랜섬웨어는 오랫동안 서비스형 랜섬웨어로 운영되어 왔으며, 이는 운영자/개발자가 랜섬웨어 개발, 결제 사이트, 협상 처리 등을 담당하고 계열사가 기업 네트워크 중단, 데이터 탈취, 백업 삭제, 기기 암호화에 참여하는 것을 의미합니다.
그러나 이러한 구조는 제휴사에 불리하게 작용합니다. 랜섬웨어 작전에는 보안 연구자들이 피해자가 무료로 파일을 복구할 수 있는 암호 해독기를 만들 수 있는 버그가 있습니다.
지불 합의에 따라 랜섬웨어 운영자는 15~30%를 받고 나머지는 제휴사가 받지만, 보안 연구원이 복호화 프로그램을 만드는 경우 제휴사는 몸값 지불의 일부로 받을 수 있었던 잠재적 수익을 모두 잃게 됩니다.
그러나 새로운 데이터 손상 기능을 사용하면 데이터를 탈취한 후 암호화하는 기존의 랜섬웨어 공격에서 데이터를 탈취한 후 삭제하거나 손상시키는 공격으로 전환할 수 있습니다.
이 방법을 사용하면 제휴사는 암호화 개발자와 일정 비율을 공유할 필요가 없으므로 공격으로 인한 모든 수익을 유지할 수 있습니다.
이 글의 출처는 BleepingComputer의 기사입니다.
