블랙수트 랜섬웨어 탐지: 이그노블 스코피우스, 공격 강화하며 전 세계 90개 이상 조직을 타겟팅
목차:
Royal 랜섬웨어의 후속으로 작년에 등장한 BlackSuit는, BlackSuit 는 전 세계 조직을 적극적으로 대상으로 삼아 빠르게 고도로 정교해진 악성 스핀오프로 진화했습니다. 보안 연구원들은 Ignoble Scorpius 그룹, 즉 BlackSuit 운영자에 의해 90개 이상의 조직이 그들의 끊임없는 침입의 피해자가 되는 활동의 급격한 증가를 최근 관찰했습니다.
BlackSuit 랜섬웨어 탐지
BlackSuit 랜섬웨어는 2024년 전반기 동안 건설, 제조, 교육 산업을 중심으로 여러 조직을 활발히 타겟으로 삼아 그 영향력을 확장하고 있습니다. 잠재적 공격을 방지하기 위해, 보안 연구원들은 SOC Prime Platform에서 고급 위협 탐지 및 사냥을 위한 완전한 제품군을 지원하는 관련 Sigma 룰 모음을 제공받아 집단 사이버 방어를 신뢰할 수 있습니다.
BlackSuit 랜섬웨어와 관련된 악성 활동을 대상으로 하는 큐레이션 된 탐지 스택에 접근하려면, 탐지 탐색 버튼을 아래에서 클릭하거나 “BlackSuit Ransomware” 태그를 사용하여 Threat Detection Marketplace에서 바로 탐지를 검색하세요.
추가적으로, 사이버 수비수들은 SOC Prime Platform에서 “Ignoble Scorpius” 태그를 통해 접근 가능한 탐지 스택을 탐구함으로써 Ignoble Scorpius TTP를 더 깊이 탐색할 수 있습니다.
모든 탐지 규칙은 30개 이상의 SIEM, EDR, 그리고 Data Lake 솔루션과 호환되며, MITRE ATT&CK 프레임워크에 매핑되어 있습니다. 게다가 탐지 알고리즘은 참조, 공격 타임라인, 그리고 조사 권고사항을 포함한 광범위한 메타데이터로 풍부하게 채워져, 위협 조사를 간소화합니다. CTI references, attack timelines, and triage recommendations, streamlining threat investigation.
BlackSuit 랜섬웨어 분석
Unit 42의 연구원들은 2024년 초 봄부터 BlackSuit 랜섬웨어 활동의 급증을 최근 발견하여 공격 캠페인의 상승을 나타냅니다. 2023년부터 사이버 수비수에 상당한 위협을 가해온 Royal 랜섬웨어의 리브랜딩인 이 악명 높은 변종은 Ignoble Scorpius라는 그룹에 속합니다. 리브랜딩 이후, 전 세계적으로 93명 이상의 피해자가 확인되었으며, 대략 25%는 주로 미국 내에서 건설 및 제조 산업에 집중되어 있습니다.
그 전신과 마찬가지로, BlackSuit는 피해자의 이름과 도난 데이터를 어두운 웹 누출 사이트에 게시하여 그들이 몸값을 지불하도록 압박합니다. 특히, 그룹의 초기 요구 사항은 일반적으로 피해자 조직 연간 수익의 약 1.6%에 해당합니다. 산업 전반에 걸쳐 피해자 평균 수익이 약 1950만 달러임을 감안할 때, 이러한 몸값 요구는 영향을 받은 조직에 상당한 재정적 부담을 초래합니다.
2024년 8월, FBI와 CISA는 BlackSuit 랜섬웨어의 부상 및 전 세계 조직에 대한 증가하는 위협에 대해 수비수들에게 경고하는 알림을 발행했습니다. 공동 사이버 보안 권고는 5억 달러를 초과하는 그룹의 증가하는 몸값 요구에 주목했습니다.
Ignoble Scorpius는 초기 접근을 얻기 위해 여러 전술을 사용하며, 종종 도난된 자격 증명이나 기타 무단 네트워크 접근을 제공하는 초기 접근 브로커(IAB)를 활용합니다. 연구원들은 그룹이 사용하는 여러 방법을 확인했는데, 여기에는 악성 첨부 파일이 포함된 피싱 이메일, GootLoader를 통한 SEO 중독, 도난당한 VPN 자격 증명을 얻기 위한 사회 공학 또는 비싱, 소프트웨어 공급망 타협이 포함됩니다. 자격 증명 수집을 위해 Ignoble Scorpius는 자주 Mimikatz 와 NanoDump 같은 도구를 사용하여 추가 네트워크 접근을 얻습니다.
도메인 관리자 권한과 같은 특권 접근을 획득한 후, BlackSuit 유지자는 ntdsutil을 사용하여 NTDS.dit 파일을 덤프하여 도메인 컨트롤러를 손상시킵니다. 측면 이동을 위해, 그룹은 RDP, SMB 및 PsExec를 활용합니다. 또한 STONESTOP 및 POORTRY로 식별된 취약한 드라이버와 로더를 사용하여 안티바이러스 및 EDR 도구를 비활성화하고 탐지를 회피합니다.
그룹의 주요 페이로드는 Windows와 Linux 인스턴스, VMware ESXi 서버를 포함하여 타겟으로 하는 BlackSuit 랜섬웨어입니다. Cobalt Strike 및 SystemBC와 같은 추가 도구는 지속성과 명령 실행을 용도로 사용되며, Ignoble Scorpius 또는 IAB에 의해 배포되었는지는 명확하지 않습니다.
Windows 기반 BlackSuit 변형은 -id라는 명령 줄 인수와 함께 고유한 32자 식별자를 사용하여 피해자를 타겟으로 하고 랜섬 노트를 통해 사설 협상 채팅에 접근을 제공합니다. 재감염을 방지하기 위해, 멀웨어는 뮤텍스를 사용하고 PsExec 및 WMIC와 같은 도구를 활용하여 수백 대의 호스트에 걸쳐 SMB를 통해 랜섬웨어를 배포하고 실행합니다. 추가적으로 연구원들은 페이로드 제공을 위해 가상 머신을 생성하는 데 VirtualBox의 사용을 주목했습니다. 최대한의 암호화를 보장하기 위해, BlackSuit는 Windows Explorer와 같은 중요 프로세스를 피하면서 Windows 재시작 관리자(Windows Restart Manager)를 사용하여 열린 파일을 닫기 위해 알려진 프로세스 및 서비스를 종료합니다. ESXi 변형은 Linux 기반으로, 가상 머신을 특정 타겟으로 설정하고, Windows 변형과 비교하여 두 개의 추가 명령 줄 플래그를 도입합니다.
아직 상위 랜섬웨어 갱 중 하나로 분류되지는 않았지만, Ignoble Scorpius는 정교한 공급망 공격을 수행함으로써 두각을 나타내고 있으며, RaaS 모델 없이 93개 이상의 조직을 손상시켰으며, 이는 수비수가 랜섬웨어 공격의 위험을 최소화할 수 있도록 초고속 대응을 요구합니다. SOC Prime의 완전한 제품군 을 사용하여 AI 기반 탐지 엔지니어링, 자동 위협 사냥 및 고급 위협 탐지를 통해 진보적인 조직은 더욱 높아진 위협의 위험을 최적화하여 사이버 보안 태세를 강화하고 랜섬웨어 공격 및 신규로 부상하는 위협을 적극적으로 방어할 수 있습니다.