Repellent Scorpius: 새로운 RaaS 그룹이 Cicada3301 랜섬웨어 변종을 적극적으로 유포
목차:
랜섬웨어는 조직에 대한 주요 글로벌 위협으로 계속되고 있으며, 공격은 점점 더 빈번하고 정교해지고 있습니다. 최근 래피던트 스코르피우스라는 새로운 RaaS(랜섬웨어 서비스로서의) 그룹이 등장하여 사이버 방어자들에게 도전을 가중시키고 있습니다. 이 새로운 행위자는 시카다3301 랜섬웨어의 배포를 주도하며 이중 갈취 전술을 사용하여 수익을 극대화하면서 그들의 제휴 네트워크를 확장합니다.
시카다3301 랜섬웨어 탐지
최근 몇 달 동안 Zola and 와 BlackSuite 변종의 출현, 증가된 활동, Akira, 및 Black Basta의 재발로 인해 랜섬웨어 공격이 급속히 증가했습니다. 여름의 “더위”에 더하여 래피던트 스코르피우스가 2024년 5월 등장하여 새로 등장한 시카다3301 랜섬웨어를 혼합에 추가했습니다.
래피던트 스코르피우스의 공격을 앞지르고 잠재적인 시카다3301 랜섬웨어 감염을 사전에 식별하기 위해, 보안 전문가들은 SOC Prime 플랫폼 을 사용할 수 있으며, 전용 Sigma 규칙 세트를 통해 AI 기반 탐지 공학, 자동화된 위협 탐사, 고급 위협 탐지에 대한 완전한 제품군을 제공합니다. 아래 버튼을 눌러 시카다3301 감염과 연관된 악의적 활동을 탐지할 수 있는 관련 규칙 모음을 즉시 탐구하십시오.
래피던트 스코르피우스의 전술, 기술, 절차(TTPs)에 대한 추가 Sigma 규칙을 찾는 사이버 수비자는 위협 탐지 시장에서 “래피던트 스코르피우스” 태그로 탐색하거나 아래 버튼을 간단히 눌러 맞춤형 탐지 스택에 접근할 수 있습니다.
래피던트 스코르피우스 TTPs 탐지를 위한 Sigma 규칙
이 규칙들은 30개 이상의 SIEM, EDR, 데이터 레이크 플랫폼에 호환되며 MITRE ATT&CK 프레임워크에 매핑되었습니다. 또한, 모든 탐지는 공격 타임라인, 위협 인텔 참조, 및 트리아지 권장 사항을 포함하여 광범위한 메타 데이터로 보강됩니다.
관련 침해 지표(IOCs)를 즉시 탐색하기 위해, 보안 엔지니어는 Palo Alto Networks Unit42 연구에 나열된 지표를 탐색할 수 있으며, Uncoder AI를 통해 IOC 패키저를 제공하여 SIEM 또는 선택한 EDR에서 실행할 수 있는 맞춤형 탐색 쿼리로 IOCs를 원활히 분석하고 변환할 수 있습니다.
시카다3301 랜섬웨어 공격 분석
최근 보고서 에 따르면, Palo Alto Networks Unit 42는 새로운 랜섬웨어 활동을 감지했습니다. 래피던트 스코르피우스로 명명된 이 그룹은 2024년 5월에 활동을 시작하여 시카다3301 랜섬웨어를 전 세계적으로 배포하고 있습니다.
출시된 지 얼마 되지 않았지만, 래피던트 스코르피우스는 제휴 프로그램을 설정하고 초기 접근 브로커(IAB) 및 네트워크 침입자를 러시아어 사이버 범죄 포럼에서 적극적으로 모집함으로써 빠르게 입지를 다지고 있습니다. 그룹의 기원은 현재 알 수 없지만, 러시아어 사용자와 제휴자에 대한 집중 및 CIS 국가들만을 대상으로 하는 제한은 그룹의 근원에 대한 단서가 될 수 있습니다.
Unit42는 2024년 5월~6월 동안 이 그룹의 활동을 감시해왔으며, 연구자들은 시카다3301과 관련이 없는 과거의 침해 사건과의 연결 역시 발견했습니다. 이는 이 그룹이 이전에 다른 이름으로 운영되었거나 다른 랜섬웨어 행위자로부터 데이터를 획득했을 수 있음을 암시합니다. 주목할 만하게도, 시카다3301은 현재 불신임된 BlackCat (ALPHV로도 알려짐) 작전과 유사점을 지니고 있습니다.
래피던트 스코르피우스는 초기 접근을 위해 도난된 자격 증명을 활용하고 있으며, IAB를 통해 이를 구매합니다. 추가적으로, 공격자는 합법적인 PsExec 도구를 사용하여 대상 네트워크 내 여러 호스트에 랜섬웨어 페이로드를 실행합니다. 데이터 유출을 위해 오픈 소스 Rclone 유틸리티가 사용됩니다. 흥미롭게도, 유출에 사용된 공용 IP 주소는 이전에 Bashful Scorpius(일명 Nokoyawa) 및 Ambitious Scorpius(ALPHV/BlackCat으로도 알려짐)를 포함한 다른 랜섬웨어 집단에 의해 사용되었으며, 이는 래피던트 스코르피우스와 BlackCat 사이의 연결을 다시 한 번 강조합니다.
시카다3301 페이로드는 Rust로 작성되었으며 ChaCha20를 사용한 암호화를 사용하고 있으며, 랜섬웨어 변종은 Windows와 Linux/ESXi 호스트 모두를 대상으로 할 수 있습니다.
트렌드의 증가와 더욱 정교한 침입으로 인해, 랜섬웨어는 2021년부터 대규모 기업을 포함한 대부분의 조직에 최고의 도전 과제였습니다. SOC Prime의 완전한 제품군 을 통해 AI 기반 탐지 공학, 자동화된 위협 탐색 및 탐지 스택 검증을 제공하여, 수비자는 침입 위험을 최소화하고 보안 투자 가치를 극대화할 수 있습니다.