컨티 랜섬웨어, 북미와 유럽에서 이중 갈취 공격 발생

사이버 보안 분야에서 상대적으로 새로운 위협임에도 불구하고, Conti 랜섬웨어는 이미 전 세계적으로 조직들에게 큰 위협이 되고 있습니다. 2020년 5월에 출현한 이후, 보안 연구자들은 북미와 서유럽의 소매, 제조, 건설 및 기타 산업을 대상으로 최소 150건의 성공적인 공격을 보고했습니다. 특히, Conti 운영자는 피해자에게 이중 강탈 방식을 적용하여 암호 해독을 위한 몸값을 요구하고, 지불을 받지 못할 경우 도난당한 데이터를 유출합니다.

Conti 랜섬웨어란?

최신 분석 에 따르면 Cyberseason에서 Conti는 자가 확산, 빠른 암호화, 성공적인 회피 및 횡적 이동이 가능한 매우 공격적인 악성코드입니다. 현재 다양한 다크넷 포럼에서 랜섬웨어-서비스-형(RaaS) 모델에 따라 적극적으로 홍보되고 있습니다. 게다가, Conti Gang은 2020년 여름 Ryuk 랜섬웨어를 Conti로 대체한 TrickBot 유지보수자와 독점적인 파트너십을 맺었습니다. TrickBot 갱단의 강력한 홍보, 신속한 업데이트 주기, 공유된 코드 샘플 및 향상된 기능은 Conti 랜섬웨어를 그 악의적 기능 면에서 완전한 Ryuk 후속작으로 만듭니다.

Conti Gang은 2020년 5월 이후 랜섬웨어의 세 가지 버전을 배포했으며, 각각의 후속 릴리스는 더욱 악명 높아졌습니다. 최신 버전은 다음과 같은 기능을 포함하고 있습니다.

• 감염된 네트워크 내부의 여러 호스트를 잠그기 위해 SMB를 활용한 개선된 확산 기능;
• 32개의 동시 암호화 스레드로 빠른 파일 잠금을 구현하기 위해 멀티스레딩 기술을 채택한 향상된 암호화 루틴;
• Windows API 호출을 숨기고 전용 Python 디버거를 활용하여 분석을 방해하는 향상된 회피 전술.

ClearSky의 보안 연구원들이 밝힌 바에 따르면 Conti 랜섬웨어 운영자는 러시아와 연계된 Wizard Spider라는 해킹 단체와 관련이 있을 수 있습니다. 이전에 이 위협 그룹은 악명 높은 Ryuk 랜섬웨어를 운영한 것으로 확인되었으며, 캐나다의 한 익명의 기업에 대한 공격 분석은 Conti 침입의 배후에 동일한 그룹이 있음을 나타냅니다.

Conti 랜섬웨어 공격

보안 전문가들에 따르면, Conti는 주로 TrickBot 악성 인프라의 도움으로 배포됩니다. 감염 절차는 대부분의 경우 동일한 패턴을 따릅니다. 피해자는 본문에 악성 링크가 삽입된 피싱 이메일을 수신합니다. 클릭 시, URL은 Bazar 트로이 목마 실행 파일이 포함된 Google 드라이브로 사용자를 리디렉션합니다. 설치되면, Bazar는 감염된 네트워크에 Conti 랜섬웨어를 투하합니다.

현재까지 Conti Gang은 전 세계적으로 150개 이상의 기업을 성공적으로 공격했으며, 대부분은 북미에 위치해 있습니다. 피해자 수는 꾸준히 증가하고 있으며, 이는 랜섬웨어 유지보수자들이 런칭한 전용 Conti 웹사이트에 반영되어 있습니다. 공격자들은 이 웹페이지를 이용하여 도난당한 정보를 누출하고 피해자들에게 몸값을 지불하도록 압박하는 이중 강탈 계획을 사용합니다. 예를 들어, 2020년 12월에는 Conti 개발자들이 아마도 3GB의 데이터를 포함한 두 개의 ZIP 아카이브를 Advantech IoT 제조사로부터 유출된 것으로 예상되는 데이터로 게재했습니다. Advantech IoT 제조사. 같은 달, 해커들은 스코티시 환경 보호청 (SEPA)의 데이터를 웹페이지에 유출했습니다. 악명 높은 랜섬웨어 그룹의 최근 공격은 미국의 몇몇 의료기관을 타격했으며, 여기에는 레온 메디컬 센터와 노코나 종합 병원이 포함됩니다. Conti Gang 는 수백 건의 환자 기록을 누출하여 협박을 시도했습니다. 환자 기록 수백 건을 협박 시도로 누출했습니다.

Conti 탐지

SOC Prime의 가장 활발한 위협 보상 개발자 중 한 명인 Osman Demir은 최근 Conti 공격 탐지를 목표로 하는 독점 Sigma 규칙을 공개했습니다. Conti 랜섬웨어 감염에 관련된 기술 및 절차를 식별하고 공격을 방지하기 위해, 다음 링크를 통해 Threat Detection Marketplace에서 전용 SOC 콘텐츠를 다운로드할 수 있습니다.

https://tdm.socprime.com/tdm/info/VCWrVq5RoBCl/tC-o8ncBR-lx4sDx09VQ/

이 규칙은 다음 플랫폼으로 번역됩니다:

SIEM: Azure Sentinel, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness

EDR: Microsoft Defender ATP, CrowdStrike

MITRE ATT&CK:

전술: Impact, Privilege Escalation, Defense Evasion, Discovery

기술: Data Encrypted for Impact (T1486), Process Injection (T1055), Remote System Discovery (T1018)

Threat Detection Marketplace에 대한 유료 접근 권한이 없으신 경우, 커뮤니티 구독 하에 무료 체험을 활성화하여 이 독점 Sigma 규칙을 해제할 수 있습니다. 또한, Conti 감염을 다루는 커뮤니티 Sigma 규칙을 주목하실 것을 권장합니다: https://tdm.socprime.com/tdm/info/agjZV60tJUSw/7sZ6gHMBSh4W_EKGHbAy/#rule-context 

Threat Detection Marketplace에 가입하세요, 세계 최대의 Detection as Code 플랫폼으로 100K 이상의 탐지 및 대응 규칙이 다양한 플랫폼으로 쉽게 변환될 수 있습니다. SOC Prime의 사이버 방어 커뮤니티에 참여하여 업계를 선도하는 SOC 콘텐츠 라이브러리에 기여하고 싶으신가요? 적을 위한 미래를 위한 Threat Bounty 프로그램에 참여하세요! 언제나 번영을 위해 참여하세요!