랜섬웨어의 대부? 드래곤포스의 카르텔 야망 속으로

요약

DragonForce는 시스템을 암호화하면서 민감한 데이터를 훔치는 이중 갈취를 수행하는 빠르게 움직이는 랜섬웨어-서비스-업체입니다. 이 회사는 Windows, Linux, ESXi, BSD, NAS를 대상으로 하는 유연한 제휴 플랫폼을 홍보하며, 최근에는 파트너들이 자신의 브랜드 하에 운영할 수 있게 하는 ‘카르텔’ 접근 방식으로 전환했습니다. 보고된 피해자 범위는 여러 국가에 걸쳐 제조, 건설, 기술 분야를 포함하며, 협상 압력을 높이기 위한 ‘데이터 감사’ 등의 추가 서비스를 제공합니다.

조사

Cybereason 분석가들은 랜섬웨어 샘플을 검토하고 Conti와 관련된 뮤텍스를 발견했으며, SMB 스캔, wmic.exe를 사용한 섀도 복사 삭제 및 ESXi 암호화를 위한 맞춤 옵션을 관찰했습니다. 지원 인프라에는 여러 IP 주소와 현재는 폐쇄된 양파 유출 사이트가 포함되어 있으며, 도난당한 데이터를 게시하는 데 사용되었습니다. 보고서는 LockBit, Qilin 및 다른 랜섬웨어 행위자와의 관계와 협력 신호를 강조합니다.

완화

안티-멀웨어, 안티-랜섬웨어 제어, 섀도 복사 보호 및 애플리케이션 제어를 포함한 계층적 엔드포인트 보호를 활성화하십시오. 시스템 패치를 유지하고, 다중 인증을 요구하며, 정기적인 오프라인 백업을 유지하고 복원 테스트를 수행하십시오. SMB 스캔, wmic.exe를 통한 섀도 복사 삭제 및 언급된 뮤텍스에 대한 모니터링을 초기 경고 텔레메트리로 권장합니다.

대응

랜섬웨어 활동이 감지되면, 영향을 받은 호스트를 격리하고 휘발성 증거를 캡처하며, 사고 대응 플레이북을 활성화하십시오. 검증된 청정 백업에서 복원하고, 필요에 따라 법 집행 기관을 참여시키며, 환경 전반의 제휴진 침입을 사냥하십시오. 알려진 인프라 IP/도메인을 차단하고 데이터 도난 여부를 조사하여 격리, 통지 및 복구 조치에 대한 정보를 제공합니다.

시뮬레이션 실행

전제 조건: 텔레메트리 및 베이스라인 사전 비행 검사가 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적의 기술(TTP)의 정확한 실행을 설명합니다. 명령과 내러티브는 반드시 식별된 TTP를 직접 반영하고, 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성하려고 해야 합니다. 추상적이거나 관련 없는 예는 오진으로 이어질 수 있습니다.

• 공격 내러티브 및 명령:
  공격자는 먼저 테스트 문서(를 생성합니다.secret.txt) 더미 데이터를 포함하는. PowerShell의 .NET 암호화 클래스를 사용하여 파일은 AES-256으로 암호화되어, 시스템은 이벤트 4663으로 기록합니다. 그 AccessMask 가 0x2 (읽기-메타데이터)로 설정된 또 다른 이벤트를 생성하며, 원본 평문을 삭제한 후의 모든 조치가 동일한 이벤트 ID를 생성합니다.
  활동을 은폐하기 위해, 공격자는 Windows 보안 로그 파일 위치를 비표준 경로(C:TempSecLog.evtx)로 재정의합니다. wevtutil, 이로 인해 레지스트리 키 변경에 대한 또 다른 4663 이벤트가 생성됩니다. 이러한 단계는 DragonForce가 보고한 파일을 암호화하고 진행을 모니터링하기 위해 자신의 로그를 재배치하는 동작을 모방합니다.

• 회귀 테스트 스크립트:

  # -------------------------------------------------
  # DragonForce 랜섬웨어 시뮬레이션 – PowerShell
  # -------------------------------------------------
  
  # 1. 테스트 아티팩트 준비
  $plainPath = "$env:TEMPsecret.txt"
  "암호화해야 할 민감한 데이터" | Set-Content -Path $plainPath -Encoding UTF8
  
  # 2. 파일 암호화 (AES‑256, CBC)
  $key = (1..32 | ForEach-Object { Get-Random -Maximum 256 })
  $iv  = (1..16 | ForEach-Object { Get-Random -Maximum 256 })
  $aes = [System.Security.Cryptography.Aes]::Create()
  $aes.Key = $key
  $aes.IV  = $iv
  $aes.Mode = [System.Security.Cryptography.CipherMode]::CBC
  
  $encryptedPath = "$env:TEMPsecret.txt.enc"
  $fsIn  = [System.IO.File]::OpenRead($plainPath)
  $fsOut = [System.IO.File]::Create($encryptedPath)
  $crypto = $aes.CreateEncryptor()
  $cs = New-Object System.Security.Cryptography.CryptoStream($fsOut, $crypto, [System.Security.Cryptography.CryptoStreamMode]::Write)
  $buffer = New-Object byte[] 1048576   # 1 MiB 버퍼
  while (($read = $fsIn.Read($buffer,0,$buffer.Length)) -gt 0) {
      $cs.Write($buffer,0,$read)
  }
  $cs.FlushFinalBlock()
  $cs.Dispose()
  $fsIn.Dispose()
  $fsOut.Dispose()
  
  # 3. 원본 평문 제거(삭제 이벤트 유발)
  Remove-Item -Path $plainPath -Force
  
  # 4. 보안 이벤트 로그 위치 재정의(로그 파일 재정의)
  $newLog = "C:TempSecLog.evtx"
  wevtutil sl Security /lfn:$newLog
  
  Write-Host "시뮬레이션 완료 – $encryptedPath 에 암호화된 파일이 생성되고 로그 경로가 $newLog 으로 변경됨"

• 정리 명령:

  # -------------------------------------------------
  # 정리 – 원래 상태 복원
  # -------------------------------------------------
  
  # 원래 보안 로그 위치 복원 (기본값)
  wevtutil sl Security /lfn:"%SystemRoot%System32winevtLogsSecurity.evtx"
  
  # 암호화된 아티팩트 삭제
  $encPath = "$env:TEMPsecret.txt.enc"
  if (Test-Path $encPath) { Remove-Item $encPath -Force }
  
  # 임시 로그 파일이 존재하면 제거
  $tempLog = "C:TempSecLog.evtx"
  if (Test-Path $tempLog) { Remove-Item $tempLog -Force }
  
  Write-Host "정리 완료."