ALPHA SPIDER 랜섬웨어 공격 탐지: ALPHV aka BlackCat RaaS 운영자가 사용하는 TTP 분석
목차:
랜섬웨어는 공격의 양과 정교함이 끊임없이 증가하는 가운데 전 세계 조직에 가장 큰 위협으로 남아 있습니다. 랜섬웨어 분야의 주요 플레이어 중 ALPHA SPIDER 그룹은 미국의 헬스케어 결제 소프트웨어 프로세서 Change 및 MGM 게임 산업 거인을 표적으로 한 최근 고프로파일 공격들에 대한 책임을 주장하며 두드러집니다. ALPHA SPIDER는 사이버 영역에서의 막대한 존재감 때문에 상당한 위협을 제기하며, 미국 법무부는 발표했습니다. 압수하기 위한 국제 사법 당국의 작전을 ALPHV (일명 BlackCat) 작전과 뒤따라 나오는 상세한 CISA 조언 #StopRansomware 이니셔티브 내에서.
ALPHA SIDER (aka ALPHV, BlackCat) 랜섬웨어 공격 탐지
2020년 초 처음 등장한 이후, ALPHA SPIDER는 새 랜섬웨어-서비스-리더(RaaS)로 즉시 자신을 선언하며 다수의 고프로파일 대상, 정교한 악성 기능, 그리고 제휴사들에게 관대한 제공으로 주목을 끌었습니다.
잠재적인 ALPHV 공격을 앞서기 위해, 사이버 방어자들은 적의 TTPs에 대응하는 선별된 탐지 알고리즘이 강화된 고급 위협 탐지 및 사냥 도구가 필요합니다. SOC Prime Platform는 ALPHV aka BlackCat에 연관된 악성 활동을 식별하기 위해 28 SIEM, EDR, XDR, 및 데이터 레이크 기술과 호환되는 관련 시그마 규칙 세트를 집계합니다.
그냥 누르세요 탐지 탐색 버튼을 아래에 눌러 즉시 최신 ALPHA SPIDER 캠페인과 관련된 TTP를 식별하기 위한 광범위한 탐지 스택을 탐색하세요. 모든 규칙은 MITRE ATT&CK 프레임워크 v14.1에 매핑되어 있으며 상세한 위협 인텔리전스가 강화되어 있습니다.
위협 조사를 간소화하고 SOC 운영을 강화하기 위해, 보안 전문가들은 SOC Prime에서 “ALPHV” 및 “BlackCat” 태그와 관련한 더 넓은 시그마 규칙 컬렉션에 접근할 수 있습니다.
Alphv/BlackCat 랜섬웨어 공격 분석
악명 높은 ALPHV (BlackCat, ALPHA SPIDER) 랜섬웨어 운영자들은 2021년 늦가을부터 사이버 위협 영역에서 주목을 받으며 다양한 산업 부문을 대상으로 삼아 적의 도구 세트를 지속적으로 강화해 왔습니다. BlackCat은 DarkSide or BlackMatter 랜섬웨어 갱들의 차세대로 간주되며 이는 그들의 제휴사들의 정교한 전문성과 능력 수준을 나타냅니다. 지난 해 동안, ALPHV 해커들은 그들의 랜섬웨어 활동의 구성 요소로 새로운 적의 기술 및 혁신적인 방법들을 사용하고 있는 것으로 관찰되었습니다.
ALPHV RaaS는 Rust 프로그래밍 언어로 작성되었고 고급 제휴사들을 유치하기 위한 다양한 기능을 제공합니다. 후자는 다중 운영 체제를 대상으로 하는 랜섬웨어 변종, 탐지 회피를 위한 고도로 사용자화된 변종, 명확한 웹 도메인에 호스팅된 검색 가능한 데이터베이스, 전용 유출 사이트, 및 제휴 패널에 통합된 비트코인 믹서를 포함합니다. 최신 CrowdStrike 연구에 따르면, Alphv 운영자들은 랜섬웨어 배포를 시작하기 전에 VMware ESXi 서버의 정찰을 수행하기 위해 리눅스 버전의 Cobalt Strike 및 SystemBC을 활용했습니다.
ALPHV/BlackCat는 여러 주요 공격에 책임을 지니는 매우 다산적인 랜섬웨어 갱이며, 예를 들어 게임 거대 기업 MGM 리조트 및 헬스케어 결제 소프트웨어 제공업체 Change Healthcare를 공격했습니다. 지난 달 실시된 최근 공격은 헬스케어 조직에 대한 주요 서비스 중단을 초래했습니다. 약국과 같은.
초기 공격 단계에서 ALPHV 제휴사들은 CVE-2021-44529 및 CVE-2021-40347로 식별된 몇 가지 취약점을 악용하여 대상 네트워크 내에서 초기 접근 및 지속성을 확보합니다. 이후, 적들은 네트워크 검색 작업을 수행하기 위해 악명 높은 네트워크 스캔 유틸리티인 Nmap을 사용하고 있으며, 특정 Nmap 스크립트를 통해 목표 취약성 스캔을 수행합니다. 그들은 또한 CVE-2021-21972 로 추적되는 또 다른 원격 코드 실행(RCE) 취약성을 무기화하려 시도하고 더 나아가 네트워크 정찰 활동에 뛰어들고 있는 것으로 관찰되었습니다. 게다가, ALPHV는 초기에 측면 이동 후 Veeam 백업 도구를 악용하고 Veeam 데이터베이스에서 사용자 자격 증명을 직접 도난하기 위해 Veeam Credential Recovery PowerShell 스크립트를 활용하기도 했습니다.
헬스케어 부문을 대상으로 하는 랜섬웨어 공격의 증가하는 규모에 따라, 미국 보건복지부의 OCR은 최근 Change Healthcare에 영향을 미치는 사이버 보안 사건을 다루는 서한을 발표했으며다른 많은 헬스케어 기관들과 함께 랜섬웨어 공격에 매우 취약한 이 산업 부문 전체에 대한 사이버 보안 인식을 높이기 위한 것입니다. 지난 10년 반 동안, OCR에 보고된 랜섬웨어 공격의 수는 264% 증가했으며 이는 미국 헬스케어 조직 내에서의 방어 첨단 기능을 강화할 필요성을 증가시켰습니다.
점점 더 많은 트렌드와 정교한 침입과 함께, 2021년 이후로 대규모 기업을 포함한 대부분의 조직에게 랜섬웨어는 주요 과제였습니다. Attack Detective를 활용하여, 랜섬웨어 공격을 발견하고 잠재적인 침입을 시기적절하게 파악하는 것이 더 빨라지고, 더 쉬워지며, 더 효율적이게 됩니다. 데이터 없이도 사용중인 보안 솔루션에 맞춘 행동 기반 탐지 알고리즘 또는 IOC를 제공하고, 광범위한 공격 표면 너머를 보장하는 체계를 신뢰하세요. 이는 ATT&CK이 중심 상관관계 알고리즘으로서 지원하고 있습니다.