REvil 랜섬웨어의 진화: 새로운 전술, 주목할 만한 성과, 그리고 고위험 대상
목차:
REvil 갱단은 미국, 유럽, 아프리카 및 남미 전역의 주요 기업을 대상으로 한 공격의 급증 뒤에 있습니다. 2021년 3월, 랜섬웨어 운영자들은 민감한 데이터 침해를 초래한 거의 12건의 침입을 주장했습니다. 피해자 목록에는 법률 회사, 건설 회사, 국제 은행 및 제조업체가 포함됩니다. 보도에 따르면 Acer, Asteelflash 및 Tata Steel은 최근 REvil의 악성 활동으로 피해를 입은 업체들 중 일부입니다.
REvil 랜섬웨어란 무엇인가요?
REvil(또는 Evil, Sodinokibi)는 사이버 위협 분야에서 가장 악명 높고 널리 퍼진 랜섬웨어 변종 중 하나입니다. 2019년 4월 출현 이후, 보안 연구원들은 REvil이 GandCrab의 후속작으로 많은 코드 스트레인이 두 악성 코드 샘플 간에 공유된 것을 확인했습니다.
현재 REvil은 ransomware-as-a-service(RaaS) 위협으로 작용하고 있으며, 광범위한 제휴 네트워크에 의존하고 있습니다. REvil 개발자는 성공적인 공격의 경우 수익의 20-30%를 얻습니다. 최근 랜섬웨어 유지 관리자는 가능한 이익을 늘리기 위해 이중 갈취 트렌드에 합류했습니다. 이제 사이버 범죄자들은 민감한 데이터를 암호화할 뿐만 아니라 기밀 세부 사항을 탈취합니다. 그 결과, 백업에서 정보를 복원할 수 있음에도 불구하고 피해자는 데이터 유출 방지를 위해 몸값을 지불해야 합니다. 더욱이, REvil 개발자는 미디어 및 피해자의 사업 파트너와 연락하여 진행 중인 침입에 대해 알립니다.
이러한 갈취 전술은 REvil 연관자들에게 수많은 피해자와 상당한 후속 이익을 가져옵니다. 보안 연구원들은 2020년 동안 악명 높은 REvil 갱단이 약 150개 벤더를 공격하여 1억 달러 이상을 벌어들였다고 추정합니다. IBM Security X-Force’s 조사에 따르면, 2019-2020년 동안 REvil 피해자의 36%가 몸값을 지불했고, 12%의 피해자는 민감한 데이터가 다크 웹에서 경매로 판매되었습니다.
특히, 다음 해에는 랜섬웨어 관리자가 20억 달러라는 더 야심찬 목표를 주장합니다. 그들의 목표를 향한 과정에서 적들은 악성 네트워크에 새 제휴사를 찾고 있습니다. 예를 들어 갱단이 러시아어 포럼에 100만 달러를 예치했습니다.
게다가, REvil의 악성 기능을 강화하기 위해 개발자는 최근 새로운 기능을 추가하여 위협이 안전 모드로 실행되고 침입 후 감염된 Windows 장치를 재부팅할 수 있도록 했습니다. 이러한 혁신은 REvil이 안티바이러스 소프트웨어에 의해 탐지를 피하고 성공적인 감염을 진행할 수 있게 해줍니다.
최신 REvil 피해자
2019년 표면화된 후, REvil 갱단은 Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, CyrusOne, Artech Information Systems, Albany 국제 공항, Kenneth Cole, 및 GEDIA Automotive Group 등과 같은 주요 기업을 공격했습니다. 하지만 사이버 범죄 갱단은 그들의 야망을 줄일 의도가 없습니다. 최근 뉴스 발표에 따르면 세 개의 더 많은 비즈니스가 REvil 활동의 희생자가 되었습니다.
2021년 3월 중순에 REvil 유지관리자는 Acer, 주요 대만 전자 및 컴퓨터 제조업체를 공격했습니다. 성공적인 침입 후 사이버 범죄자는 민감한 데이터를 탈취하고 암호 해독 및 데이터 유출 방지를 위해 5천만 달러의 몸값을 요구했습니다.
2021년 4월 초 또 다른 큰 사건이 발생했습니다. 이번에는 REvil이 프랑스 전자 제품 제조사 Asteelflash를 대상으로 2,400만 달러의 몸값을 요구했습니다. 회사는 사건을 공식적으로 공개하지 않았지만, 보안 연구원들은 이 공격의 Tor 협상 페이지를 발견했습니다.
마지막으로, 2021년 4월 6일 뉴스 보도에 따르면 인도 철강 그룹 Tata Steel 도 REvil의 피해자가 되었으며, 데이터 복구를 위해 400만 달러의 몸값을 요구했습니다.
REvil 랜섬웨어 공격 탐지
가능한 REvil 공격을 탐지하고 방지하기 위해 저희의 활발한 Threat Bounty 개발자가 발표한 최신 Sigma 규칙을 다운로드할 수 있습니다.
Malspam 캠페인은 IcedID를 떨어뜨리고 REvil 랜섬웨어로 이어집니다.
REvil 랜섬웨어에 새로운 ‘Windows 안전 모드’ 암호화 모드가 있습니다.
또한, REvil 탐지의 전체 목록 이 Threat Detection Marketplace에서 제공됩니다. 가장 핫한 업데이트를 놓치지 않으려면 저희 블로그를 주시하세요.
Threat Detection Marketplace에 가입하여 23개 이상의 선도적인 시장 SIEM, EDR 및 NTDR 도구를 위한 100K+ 탐지 알고리즘 및 위협 사냥 쿼리를 포함하는 업계 최초의 SOC 콘텐츠 라이브러리를 이용하세요. 300명 이상의 기여자가 매일 우리의 글로벌 SOC 콘텐츠 라이브러리를 풍부하게 하여 공격 수명 주기의 조기 단계에서 가장 심각한 사이버 위협을 지속적으로 탐지할 수 있도록 합니다. 자신만의 #Sigma 규칙을 제작하고 싶습니까? 보다 안전한 미래를 위해 우리 Threat Bounty 프로그램에 참여하세요!