ClickCease 트렐릭스, 사이버 범죄 조직 '매뉴얼 읽기' 락커 적발

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

신흥 사이버 범죄 조직 '매뉴얼 읽기' 락커에 대한 트렐릭스의 보고서

by

2023년 4월 27일 TuxCare 홍보팀

사이버 보안 회사인 트렐릭스는 "매뉴얼 읽기" 락커라는 새로운 사이버 범죄 조직의 수법에 대한 자세한 정보를 제공했습니다. 이 그룹은 조직이 부과한 엄격한 규칙을 준수해야 하는 계열사 네트워크에 서비스형 랜섬웨어(RaaS)를 제공합니다. 이 보고서에는 이들의 전술, 기술 및 절차가 설명되어 있습니다.

이 범죄 조직은 관심을 피하고 헤드라인을 장식하지 않는 대신 익명을 유지하면서 돈을 버는 데 집중하는 것을 목표로 합니다. 이들은 영어와 러시아어로 알림을 게시하며, 후자의 품질이 더 높습니다. 동유럽 및 아시아(CIS) 지역의 독립 국가 연합은 이 지역에서 피해자가 생기지 않도록 하기 위해 범죄자들이 접근하지 않는 지역입니다.

이 보고서는 이 그룹의 패널을 통해 그들의 규칙, 목표, 운영 방식에 대한 통찰력을 얻을 수 있다고 밝혔습니다. 연구원들은 이용 가능한 정보를 바탕으로 일부 구성원의 지리적 위치에 대해 몇 가지 추정할 수 있었습니다.

이 그룹의 패널은 사용자 이름과 비밀번호 조합과 캡차 코드를 통해 액세스되며, 다른 공격자와 연구자의 무차별 대입 로그인 시도를 방지합니다. 제휴사는 랜섬웨어 조직의 현재 표준 행동에 맞춰 랜섬웨어 피해자를 추가하여 그룹의 방법을 조정할 수 있습니다.

랜섬 메시지는 피해자의 네트워크가 RTM Locker 랜섬웨어에 감염되었으며 개인 문서, 사진, 고객 및 직원 데이터, 데이터베이스를 포함한 파일이 암호화되어 액세스 할 수 없음을 알립니다. 이 메모는 피해자가 48시간 이내에 지원팀에 연락하지 않으면 데이터가 공개 도메인에 게시되고 손상된 데이터가 경쟁사 및 규제 당국에 전송될 것이라고 경고합니다. 이 메모는 피해자가 파일 자체를 복구하거나 암호화된 파일을 수정하려고 시도하면 영구적인 데이터 손실을 초래할 수 있으므로 절대 시도하지 말라고 조언합니다.

랜섬웨어는 관리자 기능을 얻기 위해 익스플로잇을 사용하지 않고, 필요한 권한으로 자체적으로 시작하여 사용자 계정 제어 대화 상자를 표시합니다. 피해자가 실행에 동의하면 필요한 관리자 권한이 있는 새 프로세스 인스턴스가 설정되고 기존 락커 인스턴스가 종료됩니다. 피해자가 이 메시지를 거부하면 권한이 부여될 때까지 사물함은 계속해서 권한을 요청합니다.

보다 효과적으로 표적 시스템을 무력화하기 위해 RTM Locker는 가능한 한 많은 데이터를 암호화하고 내장된 시스템 도메인에 대한 관리자 권한이 있는지 확인하여 적절한 권한이 있는지 확인하여 디바이스에 대한 제어되지 않은 액세스 권한을 부여합니다.

RTM 락커에는 기호가 없지만 분석 내에서 이름이 변경된 함수와 변수는 분석 전반에 걸쳐 제공됩니다. 락커의 기본 함수는 명령줄 입력을 검사하고 콘솔 출력을 "-debug"로 설정하여 락커가 디버그 정보를 인쇄할 수 있도록 합니다. 다음 스크린샷은 명령줄 매개변수 검사와 콘솔 출력을 설정하는 함수에 대한 호출을 보여줍니다.

락커의 다음 단계는 파일을 차단할 수 있거나 악성 파일 분석에 사용되는 프로그램을 종료하여 최대한의 영향을 미치도록 하는 것입니다. 여기에는 sql.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefox.exe, tbirdconfig.exe, mydesktopqos.exe, ocomm.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe 및 notepad.exe입니다.

그런 다음 임베디드 목록에 있는 모든 서비스를 중지합니다. 대상 서비스는 안티바이러스 보호 및 백업을 담당하며, 여기에는 vss, sql, svc$, memtas, mepocs, sophos, veeam, backup, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, RTVscan, QBFCService, QBIDPService, Intuit.QuickBooks가 포함됩니다.FCS, QBCFMonitorService, YooBackup, YooIT, zhudongfangyu, stc_raw_agent, VSNAPVSS, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, PDVFSService, BackupExecVSSProvider, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, ArcSch2Svc, AcronisAgent, CASAD2DWebSvc 및 CAARCUpdateSvc.

이 랜섬웨어는 현재 난독화되어 있지 않아 쉽게 식별하고 완화할 수 있습니다. 그러나 일부 프로세스와 서비스를 종료하는 기능은 표적이 된 시스템에 심각한 피해를 입힐 수 있습니다.

이 글의 출처는 SecurityAffairs의 기사입니다.

요약
트렐릭스, 사이버 범죄 조직 '매뉴얼 읽기' 락커 적발
기사 이름
트렐릭스, 사이버 범죄 조직 '매뉴얼 읽기' 락커 적발
설명
트렐릭스는 '매뉴얼 읽기' 락커라는 새로운 사이버 범죄 조직의 수법에 대한 자세한 정보를 제공했습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

Linux 환경을 이해하도록
도와주세요!

오픈소스 현황에 대한 설문조사를 완료하면 최고 상금 500달러를 포함한 여러 가지 상품 중 하나를 받을 수 있습니다!

엔터프라이즈 Linux의 미래를 만들기 위해서는 여러분의 전문 지식이 필요합니다!