블랙캣 랜섬웨어 공격: 위협 행위자들이 Brute Ratel 및 Cobalt Strike 비콘을 사용한 고급 침투 방법

사이버 보안 연구원들은 악명 높은 BlackCat 랜섬웨어 그룹 의 새로운 활동을 공개했습니다. 최근 공격에서는 위협 행위자가 Cobalt Strike 비콘 과 새로운 침투 테스트 도구로 명명된 Brute Ratel을(를) 활용하여 손상된 기계에 Windows 서비스로 설치했습니다.

BlackCat 랜섬웨어 공격 감지

빠르게 변화하는 위협 환경을 파악하고 볼륨과 정교함이 증가하는 공격에 효과적으로 저항하기 위해, 글로벌 조직들은 사이버 방어 능력을 강화할 방법을 모색하고 있습니다. 랜섬웨어가 상승세를 유지하면서 2021-2022년 사이버 위협 환경에서 사이버 보안 실무자들은 관련 위협을 방어하기 위해 노력하고 있습니다. SOC Prime의 Detection as Code 플랫폼은 최근 BlackCat 랜섬웨어 운영에서 배포된 Brute Ratel 악성 도구를 감지하기 위한 새로운 Sigma 규칙 을 출시했습니다. 우리의 다작인 Threat Bounty 개발자인 Kyaw Pyiyt Htet (Mik0yan):

에 의해 작성된 이 탐지를 액세스하려면 SOC Prime 플랫폼에 로그인하거나 가입하세요.

사이버 보안에 대단한 재능과 자기 발전에 대한 야망을 가진 경험 많고 유망한 수비수들이 우리의 Threat Bounty 프로그램 에 참가하여 탐지 알고리즘을 제작하고, 산업 동료와 공유하며, 인정을 받고 기여에 대한 금전적 보상을 받을 수 있습니다.

위에 언급된 Sigma 규칙은 SOC Prime의 플랫폼이 지원하는 18개의 SIEM, EDR 및 XDR 솔루션에 적용될 수 있습니다. 관련 위협에 대한 향상된 가시성을 보장하기 위해, 이 탐지는 MITRE ATT&CK® 프레임워크 와 정렬되어 방어 회피 전술 레퍼토리의 프로세스 인젝션 (T1055) 기술을 다룹니다. 사이버 보안 실무자들은 또한 위에서 언급한 Sigma 규칙을 사용하여 BlackCat 랜섬웨어 운영과 연관된 위협을 즉시 사냥할 수 있습니다. Quick Hunt 모듈. 

SOC Prime의 플랫폼은 BlackCat 랜섬웨어 활동을 환경에서 적시에 식별할 수 있도록 전체 탐지 알고리즘 목록을 선별합니다. 전용 도구 키트에 액세스하려면 Detect & Hunt 버튼을 클릭하세요. 또는, 위협 사냥꾼, 사이버 위협 정보 전문가 및 기타 사이버 수비수들은 등록 없이도 BlackCat 랜섬웨어 운영에 대한 포괄적인 위협 맥락을 즉시 탐색할 수 있습니다. 관련 위협에 대한 검색을 동반하는 Sigma 규칙과 연결된 MITRE ATT&CK 참조, CTI 링크 및 Windows 실행 파일을 포함한 통찰력 있는 맥락 정보를 얻으려면 Threat Context 탐색버튼을 클릭하세요.

Detect & Hunt Threat Context 탐색

BlackCat 분석: 최신 업데이트

2021년 11월 처음 등장한 후, BlackCat (aka Alphv)은 새로운 랜섬웨어-공급 서비스(RaaS) 리더로서 널리 주목받으면서 급속히 자리를 잡았습니다. 이 그룹은 특이한 Rust 코딩 언어, 정교한 악성 기능, 그리고 제휴사에게 몸값의 90%를 유지할 수 있는 후한 제공 덕분에 주목받고 있습니다. 보안 연구자들은 BlackCat이 DarkSide or BlackMatter 랜섬웨어 그룹의 후계자일 가능성이 높다고 보고 있으며, 운영자의 복잡한 기술 세트를 시사하고 있습니다.

최신 Sophos의 조사 에 따르면, BlackCat 유지관리자들은 새로운 트릭으로 악성코드 계열을 계속 강화하고 있습니다. 위협 행위자는 노출된 네트워크에 초기 발판을 얻기 위해 패치되지 않은 또는 오래된 방화벽이나 VPN 서비스를 활용하거나 VPN 자격 증명을 확보하여 허가된 사용자로 로그인합니다.

감염이 발생하면, 다양한 오픈 소스 및 상업적으로 사용 가능한 도구를 활용하여 BlackCat의 원격 액세스 기능을 강화합니다. 특히, 최신 침투 분석에서 TeamViewer, nGrok, Cobalt Strike, 그리고 Brute Ratel을 위협 행위자가 사용하여 대안 액세스 경로를 보장했다는 점을 보여줍니다. Sophos에 따르면, Cobalt Strike와 유사한 기능을 가진 Brute Ratel 테스트 제품이 레이더 아래서 작동하면서 사후 침투 기능을 강화하기 위한 최신 도구입니다.

BlackCat의 악명을 더하는 동안, 랜섬웨어 운영자들은 희생자를 대상으로 한 몸값 요구를 갈수록 대담하게 제기합니다. 이 갱단은 일반적으로 OilTanking GmbH, Swissport, 플로리다 국제 대학, 그리고 노스캐롤라이나 A&T 대학교와 같은 고위 목표를 대상으로 실행됩니다. 몸값 요구는 여러 차례 증가하여 이제는 $2,500,000에 도달했으며, 신속한 지불의 경우 50% 할인 가능성이 있습니다.

증가하는 추세와 더욱 정교한 침투와 함께, 랜섬웨어는 2021년 대부분의 조직, 특히 대규모 기업에 있어 최고의 과제로 간주됩니다. 가입하여 SOC Prime의 Detection as Code 플랫폼 에 접속하여 200,000개 이상의 탐지 알고리즘 컬렉션을 확인하고 새로운 위협에 대비하여 능동적으로 방어하세요.