RansomHub는 IObit Unlocker 사용법 트렌드마이크로가 Water Bakunawa라는 이름으로 추적 중인 신종 서비스형 랜섬웨어(Ransomware-as-a-Service, RaaS) 그룹입니다. 2024년 2월에 최초 발견된 최신 랜섬웨어 그룹임에도 불구하고, RansomHub는 몸값을 지불할 가능성이 더 높은 대기업을 대상으로 대담하게 움직이고 있습니다.​RansomHub는 2024년 2월에 처음 발견된 젊은 Ransomware-as-a-Service(RaaS) 그룹으로, 트렌드마이크로에 의해 Water Bakunawa(워터 바쿠나와)라는 이름으로 추적되었습니다. 그들은 “빅 게임 헌팅” 전술로 빠르게 악명을 떨쳤습니다. 그들은 랜섬웨어 공격으로 인한 비즈니스 운영 중단 시간을 줄이기 위해 큰 몸값을 지불할 가능성이 더 높은 피해자를 노립니다. 그들은 클라우드 스토리지 백업과 잘못 구성된 아마존 S3 인스턴스를 대상으로 백업 제공업체와 고객 간의 신뢰를 이용하여 데이터 유출로 백업 제공업체를 위협합니다.2024년 3월, RansomHub는 피해자 목록에 체인지 헬스케어를 추가했습니다. 이 회사는 이전에 블랙캣의 표적이 되었는데, 계열사가 랜섬웨어 그룹인 ALPHV가 출구 사기를 당했다고 비난하고 그룹이 사라진 후 헤드라인을 장식한 공격이었습니다. RansomHub가 BlackCat 랜섬웨어 그룹의 이름을 바꾼 것일 수도 있고, 출구 사기로 피해를 입은 계열사들이 자신들이 받아야 한다고 생각하는 몸값을 받기 위해 RansomHub로 이동했을 수도 있습니다. BlackCat 계열사들이 RansomHub 그룹에 합류하고 있다는 보고도 있습니다.​랜섬웨어 조직이 알아야 할 RansomHub 랜섬웨어에 대한 정보RansomHub 랜섬웨어 그룹(Water Bakunawa)은 주로 러시아의 사이버 범죄자 다크 웹 포럼인 RAMP를 통해 제휴자를 모집합니다. 이 랜섬웨어 그룹은 GoLang으로 재작성된 랜섬웨어 변종을 사용하여 Windows 및 Linux 시스템을 대상으로 하고, C++를 사용하여 ESXi 서버를 대상으로 합니다. 이 그룹은 엄격한 규칙을 준수합니다. 비영리 조직을 공격하지 않으며, 이미 비용을 지불한 피해자를 다시 공격하지 않습니다. 그들은 또한 독립국가연합(CIS) 회원국과 쿠바, 북한, 중국을 표적으로 삼는 것을 피합니다.RansomHub는 제휴사가 지불 후 해독기를 제공하지 않거나 제한된 조직을 실수로 공격하는 경우 해독기를 무료로 보내겠다고 약속하는 IObit Unlocker 사용법 것으로 관찰되었습니다. 제휴사는 몸값의 90%를 유지하고 나머지 10%는 주요 그룹에 전달됩니다.RansomHub 그룹과 Knight 랜섬웨어 그룹(사이클롭스 랜섬웨어라고도 함) 사이에도 주목할 만한 유사점이 있습니다. RansomHub의 RaaS 운영 관리 패널은 Knight RaaS 패널과 디자인과 기능 면에서 유사합니다. 사이클롭스는 2024년 2월 18일 RAMP 사이버 범죄 포럼에서 Knight 3.0 랜섬웨어의 소스 코드를 판매하겠다고 제안한 Knight RaaS 프로그램의 운영자로 알려져 있습니다. 이 제안에는 RansomHub의 랜섬웨어에 사용된 언어인 C++와 GoLang으로 작성된 관리 패널과 랜섬웨어의 소스 코드가 포함되어 있었습니다.흥미롭게도, 소스 코드가 판매되기 며칠 전인 2024년 2월 12일에, Knight RaaS 토르 기반 피해자 이름 공개 블로그에 액세스할 수 없게 되었고, 이 글이 작성되는 시점에도 여전히 액세스할 수 없는 상태입니다. 한편, RansomHub RaaS는 거의 같은 시기에 출시되었습니다. 이러한 연결은 RansomHub 랜섬웨어가 Knight 랜섬웨어 그룹의 후속 또는 대체일 수 있음을 시사합니다.​감염 체인과 기법그림 1: RansomHub 랜섬웨어의 감염 체인​초기 접근RansomHub 랜섬웨어 그룹은 스피어 피싱 음성 사기를 통해 초기 접근을 시도합니다. 사이버 범죄자들은 피해자의 계정 비밀번호 재설정을 조율하기 위해 사회 공학을 이용합니다. 설득력 있는 미국식 억양을 가진 사람을 고용하여 피해자를 유인합니다. RansomHub는 손상된 VPN 계정을 사용할 가능성도 있습니다.​실행RansomHub의 운영자들은 PsExec을 사용하여 피해자의 컴퓨터에서 원격으로 명령을 실행합니다. 또한 Powershell 스크립트를 사용하여 자격 증명 액세스와 관련된 명령을 실행하고, 원격 시스템을 발견하고, SSH 연결을 설정하는 것으로 관찰되었습니다.또한, 그들은 Python 스크립트를 사용하여 SSH 연결을 설정하고, SFTP(Secure File Transfer Protocol)를 통해 암호화기를 전송하며, 여러 서버에서 동시에 암호화기를 실행하는 것으로 관찰되었습니다.​지속성RansomHub는 로컬 계정을 사용하여 액세스를 유지하고, 생성된 사용자를 관리자 그룹에 추가하여 높은 수준의 액세스를 유지합니다.​방어 회피RansomHub는 Trojan.BAT.KAPROCHANDLER.A로 탐지된 disableAV.bat라는 배치 파일을 삭제하고 실행합니다. IObit Unlocker 사용법 이 파일은 바이러스 백신 관련 프로세스와 파일을 종료하고 삭제하는 데 사용되는 바이너리를 복사하여 실행합니다. STONESTOP으로 탐지된 이 바이너리는 POORTRY로 탐지된 서명된 드라이버를 사용하여 바이러스 백신 제품과 관련된 파일을 삭제하고 프로세스를 종료합니다.랜섬웨어는 또 다른 배치 파일을 사용하여 Windows의 바이러스 및 위협 보호 설정을 우회하기 위한 여러 레지스트리 하위 키와 항목을 삭제합니다.RansomHub는 또한 TDSSKiller를 사용하여 대상 시스템의 안티바이러스 또는 EDR 솔루션을 비활성화하고 TOGGLEDEFENDER를 사용하여 Windows Defender를 비활성화합니다.랜섬웨어 그룹은 또한 BYOVD(Bring Your Own Vulnerable Driver) 기법을 활용하는 로더 실행 파일로 기능하는 EDR Kill Shifter를 사용합니다. 이 랜섬웨어는 다양한 취약한 드라이버를 악용하여 EDR 보호 기능을 무력화시킵니다.랜섬웨어 그룹은 또한 IOBit Unlocker를 사용하여 다른 프로세스나 프로그램에 의해 잠겨 있는 파일과 폴더를 잠금 해제합니다.​자격 증명 액세스RansomHub는 MIMIKATZ, LaZagne, SecretServerSecretStealer를 사용하여 피해자의 컴퓨터에서 비밀번호와 자격 증명을 검색합니다.이 랜섬웨어 그룹은 또한 Veeam Backup &ampReplication 구성 요소의 취약점 CVE-2023-27532를 악용하는 것으로 관찰되었습니다. 이 취약점을 악용하여 TCP/9401에서 Veeam.Backup.Service.exe에 연결하고, 네트워크 공유를 생성한 다음, Powershell 스크립트를 생성 및 실행하여 Veeam 데이터베이스의 자격 증명을 텍스트 파일로 덤프했습니다. 이 그룹은 Veeam 백업 관리 소프트웨어가 사용하는 SQL 데이터베이스에서 인증 정보를 추출하기 위해 특별히 고안된 인증 정보 덤프 도구인 Veeamp를 사용하는 모습도 목격되었습니다.랜섬웨어 그룹의 샘플이 도메인 컨트롤러에 대한 무차별 대입 공격을 수행한 후 도메인 컨트롤러에 대한 ntlmv1 로그온을 수행하는 것도 관찰되었습니다. 이 그룹은 또한 사용자, 그룹, 보안 설명자 및 암호 해시를 포함한 Active Directory 데이터를 저장하는 데이터베이스인 NTDS.dit 파일을 추출하는 것도 관찰되었습니다.RansomHub는 또한 CyberArk Privileged Access Security(PAS) 솔루션과 상호 작용하는 PowerShell 스크립트를 사용하여 금고에서 계정 정보를 가져와 CSV 파일로 내보냅니다.​발견RansomHub IObit Unlocker 사용법 운영자는 NetScan을 사용하여 네트워크 장치에 대한 정보를 발견하고 검색합니다. 또한 고급 포트 스캐너를 사용하여 네트워크 컴퓨터에서 열린 포트를 스캔합니다.​측면 이동RansomHub 랜섬웨어는 cmd 명령어 xcopy/copy를 사용하여 안티바이러스 관련 프로세스와 파일을 각각 종료하고 삭제하는 데 사용되는 바이너리와 드라이버를 전송합니다. 이 그룹은 PowerShell 스크립트를 사용하여 vCenter Server에 연결하고 모든 ESXi 호스트를 검색한 다음, 각 호스트에서 SSH 서비스를 자동으로 시작하도록 구성하여 외부 SSH 연결을 활성화합니다. 또한 이 스크립트는 ESXi 루트 사용자 암호를 재설정하고 vCenter Server와의 연결을 끊을 수 있는 기능도 가지고 있습니다.RansomHub 운영자들은 또한 RansomHub 제휴사들에게 제공된 Impacket을 사용하는 SMB 스프레더를 사용합니다. SMB 스프레더는 영향을 받은 시스템의 로컬 네트워크를 통해 특정 랜섬웨어 실행 파일을 실행합니다.이 그룹은 또한 SFTP를 사용하여 암호화 프로그램을 전송했습니다.​명령 및 제어RansomHub 운영자들은 Atera, Splashtop, AnyDesk, Ngrok, Screen Connect 및 Remmina를 사용하여 피해자 컴퓨터에 원격으로 액세스합니다.​영향RansomHub 랜섬웨어는 두 가지 암호화 알고리즘인 ECDH와 AES를 사용하여 대상 파일을 암호화합니다. 그런 다음, 랜섬웨어는 구성에서 32바이트 마스터 공개 키를 각 암호화된 파일의 끝에 추가합니다. 랜섬웨어 바이너리는 랜섬웨어가 실행될 때 32바이트 암호 문구를 포함하는 -pass 인수를 필요로 합니다. 32바이트 길이의 패스프레이즈는 실행 도중 내장된 구성을 해독하는 데 사용됩니다. 이 구성에는 파일 확장자, 파일 이름, 피해야 할 폴더, 종료해야 할 프로세스와 서비스, 그리고 손상된 로그인 계정이 포함되어 있습니다.​유출RansomHub 랜섬웨어는 제3자 도구와 웹 서비스인 RClone을 사용하여 유출되어 도난당한 정보로 변질되었습니다.​사용된 멀웨어, 도구, 익스플로잇의 요약보안팀은 일반적으로 LockBit 공격에 사용되는 다음 멀웨어 도구와 익스플로잇의 존재를 주의 깊게 살펴볼 수 있습니다.​Trend Micro 위협 인텔리전스에서 가장 많이 영향을 받은 국가와 산업이 섹션에서는 두 가지 랜섬웨어가 관련이 있는 IObit Unlocker 사용법 것으로 조사 결과 밝혀졌기 때문에 RansomHub 랜섬웨어와 Knight 랜섬웨어의 활동을 간략하게 설명합니다. RansomHub는 2024년 2월에 처음 보고되었지만, Trend Micro가 보호하는 시스템에 대한 공격 시도는 2024년 4월에 처음 발생했습니다. 반면, Knight 랜섬웨어는 올해 1월부터 활동이 활발해졌으며, 저희가 원격 측정으로 추적을 시작한 시점입니다.그림 2. 2024년 1월부터 9월까지의 나이트 랜섬웨어(왼쪽)와 RansomHub 랜섬웨어(오른쪽)의 공격 시도 건수 월별 분석나이트 랜섬웨어의 주요 표적 국가로는 브라질, 미국, 터키, 아일랜드, 이스라엘이 있으며, RansomHub는 미국과 말레이시아의 기업을 표적으로 삼았습니다.그림 3. 2024년 1월부터 9월까지 Knight(왼쪽)와 RansomHub(오른쪽) 랜섬웨어 그룹이 표적으로 삼은 상위 국가들의 분석 결과)많은 고객들이 소속된 업계를 명시하지 않기로 선택했지만, 명시한 고객들의 데이터에 따르면, Knight 랜섬웨어는 금융 기관을 가장 많이 표적으로 삼았고, RansomHub 랜섬웨어는 교육 분야를 가장 많이 표적으로 삼았습니다.그림 4. 2024년 1월부터 9월까지 랜섬웨어 그룹인 Knight(왼쪽)와 RansomHub(오른쪽)가 표적으로 삼은 상위 업종에 대한 분석RansomHub 랜섬웨어 유출 사이트에 나타난 표적 지역과 산업 분야이 섹션에서는 RansomHub 랜섬웨어 유출 사이트에 기록된 공격과 오픈 소스 정보(OSINT) 연구 및 2023년 7월부터 2024년 9월까지의 조사 결과를 바탕으로 한 데이터를 살펴봅니다.​이 갱단은 지금까지 유출 사이트에 최소 338명의 피해자를 추가했지만, 실제 피해자 수는 더 많을 것으로 보입니다.공개된 피해자 수를 기준으로 볼 때, RansomHub 랜섬웨어는 북미 지역의 기업을 가장 많이 표적으로 삼았습니다.그림 5. RansomHub 랜섬웨어의 피해자 조직의 지역별 분포(위치 불명의 피해자 제외) 출처: RansomHub 랜섬웨어 유출 사이트 및 트렌드마이크로 OSINT 연구(2023년 7월~2024년 9월)RansomHub는 미국 기업을 가장 많이 표적으로 삼았습니다. 이 갱단은 다른 나라에 대한 공격을 몇 번 더 감행했지만, 총 338개의 피해자는 최소 58개국에 걸쳐 있습니다.그림 6. RansomHub 랜섬웨어가 표적으로 삼은 상위 10개국출처: IObit Unlocker 사용법 RansomHub 랜섬웨어 유출 사이트와 트렌드마이크로 OSINT 연구(2023년 7월~2024년 9월)RansomHub 랜섬웨어의 피해 조직의 대부분은 소규모 사업체였습니다. 이 갱단은 중견 기업을 65번, 대기업을 38번 겨냥했습니다.그림 7. RansomHub의 피해 조직의 규모별 분포출처: RansomHub 랜섬웨어 유출 사이트와 트렌드마이크로 OSINT 연구(2023년 7월 - 2024년 9월)RansomHub가 표적으로 삼는 분야가 특별히 눈에 띄지는 않습니다. 업계별 피해자 유형이 여러 분야에 걸쳐 있기 때문입니다. 그러나 유출 사이트에 따르면 공격 건수가 가장 많은 분야는 IT 분야입니다.그림 8. RansomHub 랜섬웨어 공격의 표적이 된 상위 10개 업종 분석표출처: RansomHub 랜섬웨어 유출 사이트와 트렌드마이크로 OSINT 연구(2023년 7월~2024년 9월)트렌드마이크로 비전 원 위협 인텔리전스트렌드마이크로 고객은 진화하는 위협에 한 발 앞서 대응하기 위해 트렌드마이크로 비전 원(Trend Micro Vision One) 내에서 다양한 인텔리전스 보고서와 위협 인사이트에 액세스할 수 있습니다. 위협 인사이트는 고객이 사이버 위협이 발생하기 전에 이를 미리 파악하고, 새롭게 등장하는 위협에 더 잘 대비할 수 있도록 도와줍니다. 이 서비스는 위협 행위자, 그들의 악의적인 활동, 그들이 사용하는 기술에 대한 포괄적인 정보를 제공합니다. 고객은 이 인텔리전스를 활용하여 환경을 보호하고, 위험을 완화하며, 위협에 효과적으로 대응할 수 있습니다.​Trend Micro Vision One Intelligence Reports App [IOC Sweeping]IOC 스윕을 위해 Trend Micro Vision One Intelligence Reports 대시보드에서 다음을 검색할 수 있습니다.RansomHub 공격 급증: 새로운 EDR 방지 전술 공개 및 AMADEY 인프라 연결[핫 위협]: RansomHub 랜섬웨어에 대한 새로운 지표 -새로운 RansomHub 공격은 TDSKiller와 LaZagne를 사용하여 EDR을 비활성화합니다.랜섬웨어 차단: RansomHub 랜섬웨어​트렌드 마이크로 비전 원 위협 인사이트 앱위협 행위자워터 바쿠나와신종 위협RansomHub의 부상 서비스형 랜섬웨어RansomHub의 급부상: 새로운 EDR 방지 전술 공개 및 AMADEY 인프라 연결​​트렌드 비전 원 헌팅 쿼리추세 비전 IObit Unlocker 사용법 한 고객은 앱 검색 기능을 사용하여 이 기능에 언급된 악성 지표와 일치하거나 해당 환경의 데이터와 일치하는 악성 지표를 찾을 수 있습니다.​RansomHub 랜섬웨어 VSAPI 탐지 및 랜섬 노트:malName:(*RANSOMHUB* 또는 *KNIGHT*) AND eventName: MALWARE_DETECTION AND FileFullPath:(“*\\README_*”) ​RansomHub 랜섬웨어 프로세스 실행:processCmd:“/*cmd.exe /c iisreset.exe /stop*/” AND processCmd:“*powershell.exe -Command PowerShell -Command ‘\’Get-CimInstance Win32_ShadowCopy | Remove-CimInstance\”“*/” AND processCmd:“*powershell.exe -Command PowerShell -Command ‘\’Get-VM | Stop-VM -Force\”“*/” ​Vision One 고객은 위협 인사이트 권한을 활성화하면 더 많은 검색 쿼리를 이용할 수 있습니다.​권장 사항랜섬웨어 RansomHub는 사이버 범죄자들이 쉽게 부활하고 다른 그룹과 협력하여 갈취 계획으로 인한 이익을 극대화한다는 것을 보여주는 최신 증거입니다. BlackCat과 Knight 랜섬웨어 배후의 인물들과의 연관성을 고려할 때, 특히 이 그룹의 피해자 유형이 1년 동안의 활동 기간 동안 빈번하고 공격적인 공격을 가한 것으로 보인다는 점을 고려할 때, RansomHub는 주의해야 할 강력한 위협입니다.​RansomHub 랜섬웨어 및 기타 유사한 위협으로부터 시스템을 보호하기 위해 조직은 강력한 방어 전략을 수립하기 위해 체계적으로 자원을 할당하는 보안 프레임워크를 구현할 수 있습니다.​다음은 조직이 랜섬웨어 감염으로부터 스스로를 보호하기 위해 고려할 수 있는 몇 가지 모범 사례입니다.​감사 및 인벤토리자산 및 데이터 인벤토리 작성승인 및 미승인 장치 및 소프트웨어 식별이벤트 및 사고 로그 감사 수행​구성 및 모니터링하드웨어 및 소프트웨어 구성 관리관리자 권한을 부여하고, 필요할 때만 직원의 역할에 액세스 권한을 부여합니다.네트워크 포트, 프로토콜, 서비스를 모니터링합니다.방화벽, 라우터와 같은 네트워크 인프라 장치의 보안 구성을 활성화합니다.합법적인 응용 프로그램만 실행하도록 소프트웨어 허용 목록을 설정합니다.​패치 및 업데이트정기적인 취약성 평가를 실시합니다.운영 체제 및 응용 프로그램에 패치 또는 가상 패치를 적용합니다.소프트웨어와 응용 프로그램을 최신 버전으로 업데이트합니다. 보호 및 복구데이터 보호, 백업 및 IObit Unlocker 사용법 복구 조치 시행다중 인증(MFA) 활성화​보안 및 방어샌드박스 분석을 통해 악성 이메일 차단이메일, 엔드포인트, 웹, 네트워크를 포함한 시스템의 모든 계층에 최신 버전의 보안 솔루션 배포시스템에 의심스러운 도구가 존재하는 등 공격의 초기 징후 탐지AI와 머신 러닝을 기반으로 하는 고급 탐지 기술 사용​교육 및 테스트직원들의 보안 기술에 대한 정기적인 교육과 평가 실시레드팀 연습과 침투 테스트 실시​다층적 접근 방식은 조직이 시스템에 침투할 수 있는 진입점(엔드포인트, 이메일, 웹, 네트워크)을 보호하는 데 도움이 될 수 있습니다. 보안 솔루션은 악성 구성 요소를 감지할 수 있고 의심스러운 행동은 기업을 보호하는 데 도움이 될 수 있습니다.Trend Vision One™ – Endpoint Security는 공격 체인의 모든 단계에 걸쳐 다층적인 예방 및 보호 기능을 제공합니다. 업계 최고의 침입 방지 기능은 랜섬웨어가 시스템에 돌이킬 수 없는 손상을 입히기 전에 의심스러운 행동과 도구를 조기에 차단할 수 있도록 알려진 패치되지 않은 위협을 완화할 수 있도록 해줍니다. 파일이 악성인지 예측하고 실행되기 전에 공격 지표를 감지합니다.Trend Vision One™ – Cloud Security는 파일 무결성 모니터링, 서버 침입 방지, 컨테이너 보안을 통해 물리적, 가상, 클라우드 서버에 대한 고급 서버 보안을 제공합니다. 긴급 패치 없이도 기업 애플리케이션과 데이터를 침해와 비즈니스 중단으로부터 보호합니다.Trend Vision One™ – 이메일 및 협업 보안은 이메일 사용자 위험 평가를 통해 직원들의 위험 수준을 실시간으로 모니터링하고, 사용자 대상 위협을 신속하게 감지 및 대응하며, 이메일 보안 및 예방 조치를 구현하여 공격 체인을 차단하고 위험을 효과적으로 완화합니다.오늘 포스팅이 유익하셨나요? 마음에 드셨다면 공감을 눌러주시고, 트렌드마이크로의 사이버 보안 컨설팅을 희망하시면 신청해 주십시오. 30일 무료 체험판도 언제든 경험하실 수 있습니다.트렌드마이크로가 여러분의 디지털 세상을 보다 쉽고 안전하게 IObit Unlocker 사용법 만들어 드립니다.