2022-05-18 02:50 (수)
블랙캣, 실제 공격에 사용된 러스트 기반 랜섬웨어 맬웨어
상태바
블랙캣, 실제 공격에 사용된 러스트 기반 랜섬웨어 맬웨어
  • 페소아 기자
  • 승인 2021.12.13 16:08
이 기사를 공유합니다

지난달 발견된 이후 이미 공격이 이루어진 최초의 Rust 언어 기반 랜섬웨어 변종이 현실에서 발견된 것에 대한 세부 정보가 발표되었다고 더해커뉴스가 보도했다.

보도에 따르면, 멀웨어헌터팀은 블랙캣(BlackCat)이라는 랜섬웨어를 공개했다. 연구원들은 이 파일 암호화 멀웨어를 자세히 설명하는 일련의 트윗에서 "피해자들은 비트코인이나 모네로로 돈을 지불할 수 있다. 또한 그들이 협상을 위해 중개자에게 자격 증명을 제공하는 것으로 보인다"고 전했다.

블랙캣은 이전에 등장한 많은 다른 변종과 유사하게 RaaS(ransomware-as-a-service)로 작동한다. 여기서 핵심 개발자는 계열사를 모집해 기업 환경을 침해하고 파일을 암호화하지만 이중 갈취 방식으로 해당 문서를 훔쳐서 대상에게 요청된 금액이나 위험 요소를 지불하도록 압박하기 전에는 작동하지 않는다. 이중 갈취 계획은 대상에게 요청한 금액을 지불하도록 압력을 가하거나 회사가 지불을 거부할 경우 도난당한 데이터가 노출될 위험이 있다.

해외 보안 연구원은 이를 "매우 정교한 랜섬웨어"라고 불렀다.

사이버보안 기업 S2W는 블랙캣에 대한 별도 분석에서 랜섬웨어가 지난 7월에 시작해 11월 초에 활동을 종료한 DarkSide에서 나온 또 다른 랜섬웨어, BlackMatter와 비슷하다고 전하며 다른 RaaS 프로그램과 마찬가지로 내부 구성을 참고해 악의적인 행위를 하고 있다고 밝혔다.

랜섬웨어 집단이 지하로 들어가 새로운 이름으로 재조직하고 다시 얼굴을 드러내는 것은 일반적이지만, 연구자들은 블랙캣을 BlackMatter의 re-브랜드라고 부르는 것에 대해서는 사용되는 프로그래밍 언어(러스트 vs C++), 수많은 실행 옵션 및 행위자에 의해 유지되는 다크 웹 인프라의 차이를 들며 경계했다.

블랙캣은 2021년 12월 4일부터 침투 테스터를 포함한 다른 참가자를 모집하고 소위 "차세대 랜섬웨어"에 참여시키기 위해 XSS와 익스플로잇과 같은 러시아어 언더 마켓에서 사용자 이름 "alphv"로 RAMP 포럼에서 "ransom"으로 광고되었다.

랜섬웨어 공격자는 또한 5개의 onion 도메인을 운영하고 있는 것으로 알려졌으며 이 중 3개는 그룹의 협상 사이트 역할을 하고 나머지는 "Alphv" 공개 누출 사이트와 개인 누출 사이트로 분류된다. 현재까지 확인된 피해자는 2명에 불과해 초기 랜섬웨어가 실제 공격에서 기업을 상대로 활발히 전개되고 있음을 시사한다.

S2W 연구원들은 "블랙캣 랜섬웨어와 Alphv 유출 사이트에 대한 정보가 트위터에 공개된 후 두 피해자의 모든 정보를 삭제하고 Alphv 유출 사이트에 경고 메시지를 추가했다"라고 말했다.

이 개발은 위협 행위자가 Dlang, Go, Nim 및 Rust와 같이 덜 알려진 프로그래밍 언어를 채택하여 보안 보호를 우회하고, 분석을 회피하고, 리버스 엔지니어링을 방해하는 작업이 증가하고 있음을 보여준다.

러스트는 또한 C와 C++와 같은 언어에 비해 고성능을 달성하는 동시에 악용되기 쉬운 악성코드를 만들고 무력하게 만드는 데 활용될 수 있는 메모리 안전 보장을 제공하는 기능으로 주목을 받고 있다.

★정보보안 대표 미디어 데일리시큐!★