BlackCat 랜섬웨어란 무엇인가요?

Noberus 또는 ALPHV 랜섬웨어로도 알려진 BlackCat 랜섬웨어는 러시아어를 사용하는 사이버 범죄자 그룹이 만든 멀웨어의 일종입니다. 이 그룹의 일부 구성원은 지금은 사라진 두 랜섬웨어 그룹 DarkSide 및 BlackMatter와 연관이 있는 것으로 추정됩니다. BlackCat은 2021년에 처음 등장한 이후 가장 활발하게 활동하는 랜섬웨어 중 하나가 되었습니다. 'Sphynx’라는 새로운 변종은 훨씬 더 빠르고 효율적으로 작동하는 것으로 알려져 있습니다. BlackCat은 Rust 프로그래밍 언어로 작성되었으며 다른 종류의 랜섬웨어 위협보다 제거하기가 더 어렵습니다. 건설, 제조, 에너지, 헬스케어, 기술, 리테일 분야의 기업이 BlackCat 랜섬웨어 공격의 피해자가 되고 있습니다.

BlackCat을 사용하는 공격자는 원격 데스크톱 프로토콜, 감염된 인증정보, 교환 서버 취약점 등 다양한 방법으로 IT 환경과 사용자 계정에 대한 초기 접속 권한을 얻습니다. 일부 공격자는 인기 있는 소프트웨어의 가짜 다운로드를 홍보하는 Google 광고를 사용하며, 사용자가 링크를 클릭하면 정상적인 소프트웨어가 아닌 멀웨어를 다운로드하게 됩니다. 멀웨어 페이로드가 네트워크 내의 디바이스를 감염시키면 사이버 범죄자들은 이를 사용해 서버와 개별 머신의 파일과 데이터를 암호화해 사용자가 접속하지 못하도록 합니다. BlackCat 그룹은 민감한 데이터를 암호화하기 전에 유출해 랜섬을 지불하지 않으면 데이터를 공개하겠다고 협박할 수 있습니다.

BlackCat 랜섬웨어 제품군은 몇 가지 주요한 이유로 다른 종류의 랜섬웨어 랜섬웨어 공격과 구별됩니다.

• RaaS(Ransomware as a Service). BlackCat은 멀웨어 제작자가 다른 그룹이 랜섬웨어를 사용하도록 허용하고 그 대가로 랜섬의 일정 비율을 받는 RaaS(Ransomware as a Service) 모델을 기반으로 작동합니다.
• 더 높은 지불금. BlackCat의 배후에 있는 해커들은 소프트웨어를 사용하는 범죄 기업에 일반적인 70%보다 높은 80~90%의 금액을 지불합니다.
• 새로운 프로그래밍 언어. BlackCat은 빠르고 안정적이며 안전한 프로그래밍 언어인 Rust로 작성된 최초의 랜섬웨어 변종으로, Windows는 물론 Linux 및 VMware 인스턴스의 가상 머신과 같은 비 Windows 시스템에서도 실행할 수 있습니다. 현재까지 Linux 기반 시스템을 표적으로 삼은 멀웨어는 거의 없었기 때문에 Linux 기반 환경을 관리하는 보안팀은 이 파괴적인 사이버 공격. Rust 및 기타 최신 프로그래밍 언어로 작성된 위협을 효과적으로 분석하는 보안 솔루션은 그리 많지 않으며 일부 보안 툴은 BlackCat을 인식하고 방어하기가 더욱 어렵습니다.
• 사용자 지정 기능. BlackCat 운영자는 다양한 운영 체제에서 작동하도록 랜섬웨어를 사용자 지정할 수 있으므로 공격 가능한 대상의 범위가 넓습니다. 운영자는 다양한 암호화 알고리즘 중에서 선택하고, 랜섬 메모를 사용자 지정하고, 무시할 파일을 지정하고, 종료할 특정 서비스 및 프로세스를 선택할 수 있습니다.
• 3중 위협. BlackCat을 사용하는 공격자는 감염된 파일의 암호를 해독하고, 훔친 데이터를 공개하지 않으며, 피해자에 대한 DoS(Denial-of-Service) 또는 DDoS(Distributed Denial-of-Service) 공격 을 실행하지 않는 대가로 랜섬을 요구하는 3중 갈취 기법을 사용하는 경우가 많습니다.
• 공개 데이터 유출 사이트.. BlackCat의 배후 그룹은 퍼블릭 인터넷에 웹사이트를 만들었고 이를 통해 공격으로 얻은 데이터가 유출되었습니다. 이는 BlackCat 랜섬웨어를 사이버 범죄자들의 눈에 띄게 하는 동시에, 피해자들이 협박에 굴복해 랜섬을 지불하도록 유도하는 효과가 있습니다.

랜섬웨어 공격이 BlackCat 멀웨어를 사용하고 있음을 나타내는 몇 가지 징후가 있습니다. IOC(Indicator of Compromise)에는 파일 해시 서명, 명령 및 제어 IP 주소, FBI 및 기타 분석에 의해 공개된 특정 도메인이 포함됩니다. BlackCat 공격은 일반적으로 고유하거나 맞춤화된 랜섬 메모를 사용하며, 여기에는 이전에 유출되어 랜섬을 지불한 데이터의 증거를 보여주는 고유한 Tor 웹사이트로 연결되는 링크가 포함될 수 있습니다. BlackCat은 또한 각 캠페인에서 암호화된 파일에 고유하고 임의의 확장자를 추가하고, 랜섬이 지불된 파일이 포함된 모든 디렉토리에 ‘RECOVER-<random>-NOTES.txt’라는 파일을 생성합니다.

다른 종류의 사이버 범죄 및 랜섬웨어 공격을 방지하는 데 사용되는 것과 동일한 방법과 제어 기능을 BlackCat 공격에도 효과적으로 사용할 수 있습니다.

• 마이크로세그멘테이션. 소프트웨어 정의 마이크로세그멘테이션은 개별 IT 자산 또는 네트워크의 작은 하위 집합에 대한 접속을 엄격하게 제한함으로써 랜섬웨어 공격에 필수적인 측면 이동을 방지할 수 있습니다.
• 보안 인식 교육. 직원 교육은 랜섬웨어를 예방하는 데 있어 매우 중요한 부분입니다. 인식 교육에는 보안 위생을 위한 모범 사례와 피싱 이메일 및 기타 랜섬웨어 유포의 일반적인 기법을 인식하는 방법이 포함되어야 합니다.
• 암호화. 기업은 암호화를 통해 랜섬웨어 공격자가 민감한 데이터를 훔쳐 노출하는 것을 방지할 수 있습니다.
• 강력한 ID 및 접속 제어. 기업은 강력한 암호와 멀티팩터 인증같은 기술을 구축해 데이터를 보거나 수정할 수 있는 사용자를 엄격하게 제한함으로써 BlackCat 랜섬웨어 감염의 리스크나 범위를 줄일 수 있습니다.
• 백업. 데이터를 정기적으로 백업하면 랜섬을 지불하거나 파일을 영구적으로 잃는 일 없이 랜섬웨어 감염으로부터 신속하게 복구할 수 있습니다. 백업은 감염 방지를 위해 컴퓨터나 네트워크에 연결되지 않은 안전한 위치에 저장해야 합니다.
• 최적의 패치 주기. 업데이트와 보안 패치를 정기적으로 설치하면 공격자가 악용할 수 있는 하드웨어, 애플리케이션, API의 취약점을 해결하는 데 도움이 됩니다.
• 지속적인 모니터링. 네트워크 관리자는 수신 및 발신 트래픽을 지속적으로 모니터링해 랜섬웨어의 영향 또는 기타 종류의 사이버 공격을 나타내는 비정상적인 패턴을 검색해야 합니다.
• 엔드포인트 보안. 엔드포인트 보안 서비스는 공격을 인식하고 차단하기 위한 디바이스 수준의 보호 기능을 제공합니다.
• 안전한 클라우드 서비스. 기업은 클라우드 서비스 사업자를 선택할 때 보안팀이 여러 클라우드 서비스에 포함된 보안에 대한 공유 책임 모델을 이해하고, 공급업체가 PCI DSS 또는 FedRAMP 인증과 같은 공인 표준 및 품질 프레임워크를 준수하는지 확인해야 합니다.
• DLP(Data Leak Protection). DLP 솔루션은 민감도에 따라 데이터를 세밀하게 분류하고 잠재적인 랜섬웨어 인시던트나 데이터 유출이 발생할 경우 보안팀에 실시간으로 알릴 수 있습니다.