REvil 랜섬웨어의 진화: 새로운 전술, 주목할 만한 성과, 그리고 고위험 대상

[post-views]
4월 06, 2021 · 3 분 읽기
REvil 랜섬웨어의 진화: 새로운 전술, 주목할 만한 성과, 그리고 고위험 대상

REvil 갱단은 미국, 유럽, 아프리카 및 남미 전역의 주요 기업을 대상으로 한 공격의 급증 뒤에 있습니다. 2021년 3월, 랜섬웨어 운영자들은 민감한 데이터 침해를 초래한 거의 12건의 침입을 주장했습니다. 피해자 목록에는 법률 회사, 건설 회사, 국제 은행 및 제조업체가 포함됩니다. 보도에 따르면 Acer, Asteelflash 및 Tata Steel은 최근 REvil의 악성 활동으로 피해를 입은 업체들 중 일부입니다.

REvil 랜섬웨어란 무엇인가요?

REvil(또는 Evil, Sodinokibi)는 사이버 위협 분야에서 가장 악명 높고 널리 퍼진 랜섬웨어 변종 중 하나입니다. 2019년 4월 출현 이후, 보안 연구원들은 REvil이 GandCrab의 후속작으로 많은 코드 스트레인이 두 악성 코드 샘플 간에 공유된 것을 확인했습니다.

현재 REvil은 ransomware-as-a-service(RaaS) 위협으로 작용하고 있으며, 광범위한 제휴 네트워크에 의존하고 있습니다. REvil 개발자는 성공적인 공격의 경우 수익의 20-30%를 얻습니다. 최근 랜섬웨어 유지 관리자는 가능한 이익을 늘리기 위해 이중 갈취 트렌드에 합류했습니다. 이제 사이버 범죄자들은 민감한 데이터를 암호화할 뿐만 아니라 기밀 세부 사항을 탈취합니다. 그 결과, 백업에서 정보를 복원할 수 있음에도 불구하고 피해자는 데이터 유출 방지를 위해 몸값을 지불해야 합니다. 더욱이, REvil 개발자는 미디어 및 피해자의 사업 파트너와 연락하여 진행 중인 침입에 대해 알립니다.

이러한 갈취 전술은 REvil 연관자들에게 수많은 피해자와 상당한 후속 이익을 가져옵니다. 보안 연구원들은 2020년 동안 악명 높은 REvil 갱단이 약 150개 벤더를 공격하여 1억 달러 이상을 벌어들였다고 추정합니다. IBM Security X-Force’s 조사에 따르면, 2019-2020년 동안 REvil 피해자의 36%가 몸값을 지불했고, 12%의 피해자는 민감한 데이터가 다크 웹에서 경매로 판매되었습니다.

특히, 다음 해에는 랜섬웨어 관리자가 20억 달러라는 더 야심찬 목표를 주장합니다. 그들의 목표를 향한 과정에서 적들은 악성 네트워크에 새 제휴사를 찾고 있습니다. 예를 들어 갱단이 러시아어 포럼에 100만 달러를 예치했습니다.

게다가, REvil의 악성 기능을 강화하기 위해 개발자는 최근 새로운 기능을 추가하여 위협이 안전 모드로 실행되고 침입 후 감염된 Windows 장치를 재부팅할 수 있도록 했습니다. 이러한 혁신은 REvil이 안티바이러스 소프트웨어에 의해 탐지를 피하고 성공적인 감염을 진행할 수 있게 해줍니다.

최신 REvil 피해자

2019년 표면화된 후, REvil 갱단은 Travelex, Grubman Shire Meiselas & Sacks (GSMLaw), Brown-Forman, CyrusOne, Artech Information Systems, Albany 국제 공항, Kenneth Cole, 및 GEDIA Automotive Group 등과 같은 주요 기업을 공격했습니다. 하지만 사이버 범죄 갱단은 그들의 야망을 줄일 의도가 없습니다. 최근 뉴스 발표에 따르면 세 개의 더 많은 비즈니스가 REvil 활동의 희생자가 되었습니다.

2021년 3월 중순에 REvil 유지관리자는 Acer, 주요 대만 전자 및 컴퓨터 제조업체를 공격했습니다. 성공적인 침입 후 사이버 범죄자는 민감한 데이터를 탈취하고 암호 해독 및 데이터 유출 방지를 위해 5천만 달러의 몸값을 요구했습니다.

2021년 4월 초 또 다른 큰 사건이 발생했습니다. 이번에는 REvil이 프랑스 전자 제품 제조사 Asteelflash를 대상으로 2,400만 달러의 몸값을 요구했습니다. 회사는 사건을 공식적으로 공개하지 않았지만, 보안 연구원들은 이 공격의 Tor 협상 페이지를 발견했습니다.

마지막으로, 2021년 4월 6일 뉴스 보도에 따르면 인도 철강 그룹 Tata Steel 도 REvil의 피해자가 되었으며, 데이터 복구를 위해 400만 달러의 몸값을 요구했습니다.

REvil 랜섬웨어 공격 탐지

가능한 REvil 공격을 탐지하고 방지하기 위해 저희의 활발한 Threat Bounty 개발자가 발표한 최신 Sigma 규칙을 다운로드할 수 있습니다.

Malspam 캠페인은 IcedID를 떨어뜨리고 REvil 랜섬웨어로 이어집니다.

REvil 랜섬웨어에 새로운 ‘Windows 안전 모드’ 암호화 모드가 있습니다.

안전 모드를 통한 AntiVirus/EDR 우회

또한, REvil 탐지의 전체 목록 이 Threat Detection Marketplace에서 제공됩니다. 가장 핫한 업데이트를 놓치지 않으려면 저희 블로그를 주시하세요.

Threat Detection Marketplace에 가입하여 23개 이상의 선도적인 시장 SIEM, EDR 및 NTDR 도구를 위한 100K+ 탐지 알고리즘 및 위협 사냥 쿼리를 포함하는 업계 최초의 SOC 콘텐츠 라이브러리를 이용하세요. 300명 이상의 기여자가 매일 우리의 글로벌 SOC 콘텐츠 라이브러리를 풍부하게 하여 공격 수명 주기의 조기 단계에서 가장 심각한 사이버 위협을 지속적으로 탐지할 수 있도록 합니다. 자신만의 #Sigma 규칙을 제작하고 싶습니까? 보다 안전한 미래를 위해 우리 Threat Bounty 프로그램에 참여하세요!

플랫폼으로 이동 Threat Bounty에 가입

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물