새로운 하데스 랜섬웨어, 미국 주요 벤더 공격

보안 연구원들이 미국 대기업을 표적으로 하는 Hades 랜섬웨어와 관련된 지속적인 악성 캠페인을 발견했습니다. 2020년 12월 이후로 적어도 세 곳의 미국 업체들이 금전적 이득을 노리는 모르는 행위자에게 피해를 입었습니다.

Hades 랜섬웨어란 무엇인가요?

2020년 말 처음 발견된 Hades 랜섬웨어는 위협 분야의 새로운 참가자입니다. 이 악성코드는 침투 후 피해자와 연락을 하기 위해 사용되는 전용 Tor 숨김 웹사이트의 이름을 따서 명명되었습니다. 특히, 새로 등장한 Hades 변종은 Hades Locker 악성코드 패밀리와 2016년에 공개된 것은 아무런 관련이 없습니다.

According to the CrowdStrike의 분석에 따르면, Hades는 WastedLocker의 64비트 컴파일 후속작으로, 서명 기반 탐지를 회피하고 역공학을 수행할 수 있는 기능을 향상시켰습니다. 두 악성코드 변종은 코드와 기능면에서 같으며, 전략 및 도구의 약간의 차이점만 있습니다. 예를 들어, Hades는 WastedLocker와 다른 사용자 계정 제어(UAC) 우회를 적용하지만, 둘 다 같은 오픈 소스 UACME 프로젝트에서 가져왔습니다. 다른 차이점은 중요하지 않으며, 핵심 정보 저장 방법 및 몸값 메모 전달과 관련이 있습니다. Hades와 WastedLocker의 유의미한 차이는 랜섬웨어 운영자가 피해자와 의사소통하는 방식입니다. 특히 Hades 유지 관리자는 이메일 통신을 포기하고, 각 피해자에게 고유한 Tor 숨김 웹사이트로 전환했습니다.

CrowdStrike의 보안 전문가들은 Evil Corp(Dridex, INDRIK SPIDER) 갱단이 Hades 랜섬웨어 개발 배후에 있을 수 있다고 믿습니다. 이 갱단은 추적을 피하고 제재를 피하기 위해 Hades로 전환한 것으로 추정됩니다. 미국 재무부의 해외자산통제국(OFAC)은 2019년 12월부터 Dridex 트로이목마로 인한 1억 달러 이상의 금융 손실 책임을 묻기 위해 제재를 실행하고 있습니다. 이제 BitPaymer or WastedLocker (과거 Evil Corp가 사용한 랜섬웨어 샘플)를 통해 데이터를 잠금해제하기 위해 몸값을 지불한 모든 피해자는 제재 위반으로 간주됩니다. 따라서, 가능한 금전적 이익을 잃지 않고 법적 조치를 피하기 위해 Evil Corp는 새로운 Hades 랜섬웨어를 개발했습니다.

Hades가 미국의 주요 기업을 공격하다

The Accenture의 사이버 조사 및 법의학 대응(CIFR)과 사이버 위협 인텔리전스(ACTI) 팀 의 보고서에 따르면, 적어도 세 곳의 미국 기반 공급업체가 Hades 공격에 피해를 입었습니다. 피해자 목록에는 한 운송 회사, 소비자 상품 소매업체 및 세계적인 제조업체가 포함되어 있습니다. 이 악성 캠페인에 대한 심층 분석은 공격 배후의 이름 없는 위협 행위자가 적어도 연간 10억 달러의 수익을 올리는 주요 공급업체에 집중하고 있음을 나타냅니다.

공격 킬 체인 분석에 따르면 Hades 랜섬웨어는 초기 침투를 위해 원격 데스크톱 프로토콜(RDP) 또는 가상 사설망(VPN)을 사용하여, 승인된 자격 증명을 활용합니다. 이후, 적들은 명령 및 제어(C&C) 통신, 측면 이동 및 지속성을 위해 Cobalt Strike 및 Empire를 활용합니다. 위협 행위자들은 AV 및 EDR 서비스를 차단하고 이벤트 로그를 삭제하며 Windows 감사 로그를 방지하기 위한 맞춤형 배치 스크립트 및 추가 도구를 사용하여 레이더 아래에서 탐지를 회피합니다. 침투의 최신 단계에서 악성코드 운영자는 피해자의 데이터를 암호화하기 위해 Hades 랜섬웨어를 배포하고 탈취한 민감한 정보를 공격자가 통제하는 C&C 서버로 전송하기 위해 7zip 유틸리티를 사용하여 이중 갈취를 수행합니다. 이는 현재 랜섬웨어 분야에서 가장 인기가 높은 접근 방식입니다.

Hades 랜섬웨어 탐지

Hades 및 WastedLocker 랜섬웨어 샘플의 악성 활동을 탐지하기 위해, Threat Detection Marketplace에서 이미 제공되는 전용 Sigma 규칙을 다운로드할 수 있습니다.

레지스트리 이벤트를 통한 WastedLocker의 새로운 변종 Hades 랜섬웨어 탐지

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

MITRE ATT&CK:

전술: 방어 회피

기술: 레지스트리 수정 (T1112)

WastedLocker 랜섬웨어 탐지

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black, Microsoft Defender ATP

MITRE ATT&CK:

전술: 방어 회피, 권한 상승

기술: 모호화된 파일 또는 정보(T1027), 프로세스 주입(T1055)

Threat Detection Marketplace에 가입하세요, 100K+ 탐지 알고리즘과 위협 검색 쿼리를 집계하는 세계 최고의 ‘Detection as Code’ 플랫폼입니다. Sigma 규칙을 개발하고 글로벌 위협 사냥 이니셔티브에 기여하고 싶으신가요? 우리의 Threat Bounty Program에 참여하세요!