BlackByte 랜섬웨어 공격 탐지

또 하루 —  보안 실무자들에게 또 다른 주요 도전 과제가 있습니다. BlackByte를 만나보세요. 새로운 랜섬웨어-as-a-service (RaaS) 링으로, 위협 목록의 최상위로 향하고 있습니다. BlackByte 집단에 기인한 최초 사건은 2021년 7월에 감지되었으며, 그 이후로 적들이 전술 및 도구를 상당히 발전시켰습니다. 현재 보안 연구원들은 BlackByte가 잘 알려진 ProxyShell 취약점을 활용하여 기업 네트워크에 침입하고 중요한 자산을 암호화하는 것을 관찰하고 있습니다. 

BlackByte 랜섬웨어란 무엇인가?

처음에 BlackByte는 2021년 여름 중반에 나타나, 가끔의 사용자에게 저강도 공격을 수행했습니다. 이 새로운 변종에 대한 관심은 2021년 10월에 랜섬웨어 운영자들이 아이오와 곡물 협동조합을 침해한 후 절정에 달했습니다. 그 이후로 보안 연구원들은 미국, 유럽, 호주 내의 제조, 광업, 식음료, 의료, 건설 산업을 대상으로 한 여러 공격을 추적했습니다.

BlackByte 랜섬웨어 그룹은 러시아 출신으로 여겨지며, 적들은 러시아나 CIS 국가에 기반을 둔 회사를 타겟으로 하지 않으려 합니다. 또한, BlackByte의 파일 암호화 기능 중 하나는 러시아어로 ‘출발하자’라는 뜻인 “Pognali”라고 불립니다.

에 따르면 연구 Trustwave의 , 초기 BlackByte 샘플은 그다지 복잡하지 않았습니다. 랜섬웨어는 각 암호화 세션마다 고유한 것이 아닌 동일한 키를 사용하여 AES로 파일을 암호화했습니다. 게다가, 해커들이 AES 대칭 암호화를 사용하였기 때문에, 같은 키가 암호화 및 복호화 프로세스 모두에 알맞았습니다. 공격자의 서버에서 키를 다운로드할 수 없을 경우, 랜섬웨어 루틴은 단순히 작동을 멈췄습니다.

이러한 단순한 접근 방식 때문에, Trustware의 보안 연구원들은 복호화 도구 를 2021년 10월에 BlackByte 랜섬웨어에 대해 출시했습니다. 그러나 그 이후로 악성 소프트웨어 운영자들은 그들의 전술을 업데이트하여, 피해자가 무료로 파일을 복호화할 수 있는 옵션을 남기지 않았습니다. 게다가 최신 관찰에 따르면, BlackMatter 랜섬웨어 공격은 탐지, 분석 및 복호화 방지를 위해 눈에 띄는 노력을 기울이며 더 정교해지고 있습니다.

BlackByte 배포를 위해 활용된 ProxyShell 취약점

이번 주 Red Canary 전문가들은 자세한 보고서 를 공유하여 BlackByte 운영자들이 타깃 네트워크를 침해하기 위해 ProxyShell 익스플로잇을 적극적으로 사용하고 있음을 밝혔습니다.

ProxyShell 은 해커가 관리자 수준의 접근을 얻고 취약한 Microsoft Exchange 서버에서 원격 코드 실행을 수행할 수 있도록 하는 세 개의 별개 결함(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) 조합의 단일 타이틀입니다.

Red Canary에 따르면, BlackByte 유지자는 공개된 Exchange 서버에 웹 셸을 드롭하기 위해 ProxyShell 결함을 사용합니다. 성공적으로 설치되면, 위협 행위자는 타겟 인스턴스에 지속성을 유지하고 Windows 업데이트 에이전트 프로세스에 주입된 Cobalt Strike 비콘을 추진합니다. 이 방법으로 공격자는 자격 증명을 덤프하고 계정에 접근할 수 있습니다. 또한 해커는 네트워크 전반에 초래하는 측대 이동 전에 원격 접근을 위해 AnyDesk 도구를 드롭합니다.

다음 단계에서는 BlackByte 실행 파일이 작동하여 모든 사용 가능한 자산을 감염시키는 웜 기능을 수행합니다. 암호화 프로세스를 시작하기 전에, 악성 소프트웨어는 WMI 객체를 통해 “Raccine 규칙 업데이트” 예약 작업을 삭제하고 섀도우 복사본을 지웁니다. 마지막으로 BlackByte는 WinRAR을 사용하여 민감한 데이터를 추출하여 이중 협박에 활용합니다.

BlackByte 랜섬웨어 탐지

보안 전문가들이 BlakcByte 감염을 탐지하고 공격을 성공적으로 견뎌낼 수 있도록 하기 위해, SOC Prime 플랫폼의 위협 탐지 마켓플레이스 저장소에서는 큐레이션된 탐지 콘텐츠 배치를 제공합니다: 

BlackByte 랜섬웨어 원격 서버 관리자 도구 패키지 설치

BlackByte 랜섬웨어 Raccine 예약 작업 삭제 사용

BlackByte 랜섬웨어가 Vssadmin을 사용하여 섀도우 스토리지 크기 조정

ProxyShell 익스플로잇이 Process_Creation을 통해 BlackByte 랜섬웨어로 이어짐

원격 서버 관리자 도구 패키지 설치 시도 (powershell을 통해)

BlackByte 랜섬웨어가 컴퓨터 이름에 대해 액티브 디렉토리를 쿼리함

BlackByte 랜섬웨어 탐지용 Sigma 규칙의 전체 목록은 이 링크를 통해.

추가적으로, 여러분은 the 산업 지침: 2021년 랜섬웨어 공격 방어 에서 제공 한 Vlad GaraschenkoSOC Prime의 CISO. 이 지침은 랜섬웨어 방어를 위한 모범 사례를 포함하며, 다양한 부문의 주요 MSP와 조직들이 업종별 침해에 적극적으로 대처할 수 있도록 최신 탐지를 제공합니다.

또한, 시스템이 BlackByte 침해 가능성으로부터 보호받고 있는지 확인하기 위해 ProxyShell 취약점에 대한 패치를 구현했는지 확인하십시오. 이러한 결함과 연관된 가능성 있는 악의적 활동을 탐지하려면, 사용할 수 있는 Sigma 규칙 세트를 다운로드하세요 다음 링크를 통해. 

협업 사이버 방어, 위협 검색 및 탐지를 위한 세계 최초의 플랫폼을 탐험하여 위협 탐지 능력을 강화하고 더 쉽고 빠르게 공격에 대항하세요. 세상을 더 안전한 곳으로 만들기 위해 여러분만의 Sigma 및 YARA 규칙을 만들고 싶으신가요? 여러분의 귀한 기여에 대한 지속적인 보상을 받기 위해 우리의 위협 보상 프로그램에 참여하세요!

플랫폼으로 이동 위협 보상 참여