퀀텀 랜섬웨어란 무엇인가?
목차:
퀀텀 랜섬웨어, 2021년 7월 발견 이후 주목을 받은 악성 및 빠르게 진화하는 랜섬웨어 변종입니다. 사이버 보안 전문가들이 사이버 범죄자들보다 한 발 앞서기 위해 노력하면서, 퀀텀 랜섬웨어의 복잡성과 잠재적 영향을 이해하는 것이 필수적입니다. 이는 MountLocker 랜섬웨어의 하위 변종으로, AstroLocker 및 XingLocker와 함께합니다. 동족 변종보다 덜 활동적이지만, 미화 150,000달러에서 수백만 달러에 이르는 몸값을 요구하며, 이는 모변종과 동등한 수준입니다.
퀀텀 랜섬웨어의 가장 두드러진 특징 중 하나는 매우 빠른 공격에 사용된다는 것입니다. 피해자는 일반적으로 초기 감염과 파일 암호화 사이에 몇 시간밖에 없습니다. 기습 효과를 악용하여 공격자는 자주 업무 시간이 아닌 때를 노립니다. 퀀텀 그룹에는 Conti라는 또 다른 악명 높은 사이버 범죄 그룹의 멤버가 포함되어 있으며, 최근 랜섬웨어 운영을 자발적으로 중단하고, 다른 랜섬웨어 하위 그룹의 일원으로 활동하며, 별개의 동기와 운영 전략을 포함하고 있습니다.
적대자는 몸값 협상을 위해 특별히 설계된 운영 TOR 플랫폼과 “퀀텀 블로그”라 불리는 데이터 유출 플랫폼을 구축했습니다.
지난 해 퀀텀 랜섬웨어의 주요 표적은 의료 산업의 행위자들이었습니다. 이 그룹은 657개의 의료 제공자 네트워크에 성공적으로 침투하여 190만명 이상의 피해자의 개인 정보를 도난당했습니다.
초기 침투 방법의 일환으로 적대자가 사용한 것은 IcedID 악성코드 (이메일을 통해 전달됨)로 접근 권한을 얻기 위한 수단으로, Cobalt Strike를 사용하여 원격 제어를 했습니다. 이는 궁극적으로 민감한 정보를 불법적으로 획득하고, 데이터를 암호화하기 위해 퀀텀 로커를 실행하는 결과를 낳았습니다.
퀀텀 로커란 무엇입니까?
지난 2년간, 퀀텀 로커 랜섬웨어는 빠르고 결정적인 공격으로 인해 유명해졌으며, 보안 운영 센터 팀에게 효과적인 대응을 하기 위한 협소한 시간을 허용했습니다. 일부 경우에서는 공격 후 불과 4시간 만에 랜섬웨어가 배포되었습니다.
침해를 당한 후, 표적이 된 회사와 개인은 가해자와의 소통을 위해 제한된 72시간 창을 할당받습니다. 이를 실패할 경우, 도난당한 데이터는 위 기사에서 언급된 공공 웹사이트에 공개되어 아무나 무료로 다운로드할 수 있게 됩니다.
암호화 과정을 간소화하기 위해, 퀀텀 랜섬웨어는 데이터베이스 서비스 프로세스를 식별하고 중단하며, 중요한 데이터베이스 내용에 대한 접근 제한을 제거하여 이를 암호화할 수 있게 합니다. 퀀텀의 주요 암호화 절차는 .dll 또는 .exe 실행 파일을 사용하여 수행되며, ChaCha20을 대칭 파일 암호화에, RSA-2048 공개키를 단일 ChaCha20 대칭 암호화 키 암호화에 사용하여 하이브리드 암호화 방식을 채택하고 있습니다.
IcedID를 통한 초기 접근
퀀텀 랜섬웨어는 IcedID나 BumbleBee 로더와 같은 초기 단계 악성 소프트웨어를 활용하여 타겟화된 이메일 피싱 캠페인으로 분배됩니다. C++로 작성된 BumbleBee는 로더로 작동하며, 초기화, 응답 처리, 요청 전송을 담당하는 단일 기능을 포함하고 있습니다. 손상된 장치에서 실행되면, 악성 소프트웨어는 희생자의 데이터를 성실히 수집하고 이를 지휘 및 제어(C2) 서버로 전송합니다. IcedID (BokBot으로도 알려진)은 상대적으로 최근에 멀웨어 변종으로, 은행 트로이 목마와 원격 접근 트로이목마(RAT)로 분류됩니다. 그 능력으로 주목받는 IcedID는 Zeus, Gozi 및 Dridex와 같은 다른 고급 은행 트로이 목마와 더불어 눈에 띕니다. IcedID는 두 번째 단계의 멀웨어로, 초기 접근을 설정하고 배포를 용이하게 하는 첫 번째 단계 멀웨어에 의존합니다. 최근의 발견은 그 통상적인 온라인 은행 사기 기능에서 벗어나 새로운 변종이 추가적인 멀웨어 설치를 우선시하는 것을 보여줍니다. 그 전통적인 작동 방식에서 주목할 만한 쇄신을 거쳐 목적에 변화를 드러내며, 온라인 은행 사기만을 목표로 하는 것이 아니라, 손상된 시스템에서 발판을 마련하여 다른 악성 페이로드의 배포를 용이하게 하는 데 중점을 두어 왔습니다.
이러한 페이로드는 손상된 시스템에 퀀텀 로커 주 멀웨어와 추가 도구를 가져옵니다.
악성 이메일은 IcedID 로더를 DLL (dar.dll) 형식으로 포함한 .iso 이미지 파일로 구성됩니다. 게다가, 이메일에는 IcedID 페이로드를 감염시키려는 목적의 합법적인 문서처럼 보이도록 설계된 속임수 .LNK 바로 가기 파일이 포함되어 있습니다.
이후 공격자는 네트워크의 RDP 접근권을 얻기 위해 신속한 네트워크 탐색을 수행합니다. 인접 시스템에 대한 접근이 확보되면, 공격자는 수동으로 각 호스트의 공유 폴더로 퀀텀 암호화 바이너리 ttsel.exe를 전송합니다.
퀀텀 공격의 초기 단계에서는 다양한 도구 세트가 사용됩니다. 여기에는 Cobalt Strike Beacon, Rclone, Ligolo 터널링 도구, ProcDump, ADFind, 및 Local Security Authority Subsystem Service (Lsass.exe)가 포함되며, 네트워크 탐색 및 횡적 이동에 사용됩니다. NPPSpy는 민감한 데이터를 빼돌리고 WMI, PsExec, PowerShell과 같은 LOTL(다른 사용자를 이용한) 도구가 활용됩니다. 중요한 점은 퀀텀 공격이 정교한 자동화된 스크립트나 툴킷에 의존하는 것이 아니라 인간 운영자의 수작업 활용을 주로 의지한다는 것입니다. 퀀텀의 더 정교한 기술인 “프로세스 할로잉”은 cmd.exe 프로세스를 시작하고 CobaltStrike를 프로세스의 메모리에 주입하여 탐지를 피하는 방법을 포함합니다. 비밀 작전을 유지하기 위해 퀀텀은 ProcMon, Wireshark, CND, 및 작업 관리자와 같은 악성 소프트웨어 분석과 관련된 프로세스를 적극적으로 감지하고 종료합니다.
빠른 네트워크 공격에 배포된 퀀텀 랜섬웨어
퀀텀 로커 랜섬웨어를 차별화시키는 점은 그 독보적인 실행 속도에 있습니다. 단 몇 시간 만에, 공격자는 성공적으로 랜섬웨어를 실행하여 보안 전문가들이 효과적으로 대응할 수 있는 시간을 거의 남기지 않습니다. 그 결과는 상당히 치명적일 수 있으며, 중요한 데이터가 인질로 잡히고 비즈니스 운영이 중단됩니다. 많은 자동화된 랜섬웨어 공격과 달리, 퀀텀 랜섬웨어는 주로 숙련된 인간 운영자가 운영합니다. 이러한 수작업 접근 방식을 통해 공격자는 기술을 변화시켜 전통적인 보안 조치를 회피할 수 있게 되어, 조직이 이를 탐지하고 완화시키기가 더욱 어렵습니다.
적대자는 빠른 속도를 강력한 무기로 삼아, 결함을 급속히 악용하고 수 분 또는 심지어 수 초 내에 시스템에 침투합니다. 기습과 번개 같은 빠른 실행이 사이버 범죄자들에게 매우 효과적인 것으로 입증되었습니다. 빨리 진행되는 사이버 공격의 결과는 광범위합니다. 조직은 기록적인 시간 내에 데이터의 손상, 운영 차질, 평판 손상 등을 다루게 됩니다. 게다가, 이런 공격의 빠른 진행 속도는 보안 팀에 엄청난 압박을 가하며, 침해를 신속히 식별하고 통제하여 영향을 최소화해야 합니다.
퀀텀 랜섬웨어 공격의 증가하는 양과 높아진 복잡성에 대응하기 위해, SOC Prime 플랫폼은 선별된 Sigma 규칙 세트를 제공하여 사전 탐지에 도움이 됩니다. 이 탐지탐색 버튼을 클릭함으로써, 팀은 관련 Sigma 규칙의 전체 목록을 MITRE ATT&CK® v12 에 매핑하고 포괄적인 사이버 위협 컨텍스트로 풍부하게 만든 전체 목록을 얻을 수 있습니다. 모든 Sigma 규칙은 수십 개의 보안 솔루션에 배포할 준비가 되어 있어 조직이 공급업체 종속을 피할 수 있도록 돕습니다.
퀀텀 랜섬웨어 배경
퀀텀 로커가 Conti, LockBit, 및 AVOS와 같은 저명한 랜섬웨어 운영만큼 활동적이지 않을지라도, 그럼에도 불구하고 네트워크 방어자들이 주목해야 할 중요한 위협으로 남아있습니다. 위협 환경은 끊임없이 변화하고 있으며, 퀀텀 랜섬웨어와 같은 랜섬웨어 그룹은 결함을 악용하고 탐지를 피하기 위해 TTP를 신속하게 조정할 수 있습니다. 퀀텀 로커의 기법에 대한 인식을 유지함으로써, 방어자들은 잠재적 공격을 예상하고 대응하며, 강력한 보안 조치를 구현하고, 정기적인 백업을 수행하며, 취약점을 신속히 패치하고, 피싱 및 기타 소셜 엔지니어링 기법에 대해 직원들을 교육할 수 있습니다.
퀀텀 로커의 감소된 활동은 공격자의 운영 집중도의 변화, 우선순위 변화, 또는 사이버 보안 전문가들이 그들의 운영을 방해하기 위한 강화된 노력 등 다양한 요인에 기인할 수 있습니다. 그러나 성공적인 작은 공격이라도 표적 개체에게 상당한 재정적 손실, 평판 손상 및 운영 차질을 초래할 수 있다는 점을 유의해야 합니다. 빠른 사이버 보안 공격은 전 세계 조직에게 중요한 도전 과제가 되는 새로운 문제점이 되었습니다. 적대자가 계속해서 빛의 속도로 취약점을 악용함에 따라, 비즈니스는 이에 따라 방어를 강화하는 것이 중요합니다.
탐색 SOC Prime 플랫폼 을(를) 활용하여, 모든 수준과 사용 중인 기술 스택에 관계없이 모든 사이버 방어자가 손에 넣어야 할 최고의 도구를 팀에게 장비하십시오. Sigma 언어를 MITRE ATT&CK 프레임워크와 결합하여 비용 효율적이고 미래를 대비한 사이버 방어를 가능하게 하는 최첨단 솔루션에서 산업 집단의 전문성을 통해 이점을 얻으십시오.
