Rhysida를 능가하는 방법: 고급 위협 인텔리전스가 Ransomware로부터 중요 인프라를 보호하는 방법

요약

2023년 초에 처음 활동하기 시작한 Rhysida 랜섬웨어는 악용 후 활동을 위해 다계층 인프라와 CleanUpLoader를 사용합니다. Insikt Group은 Recorded Future의 Network Intelligence를 사용하여 Rhysida 피해자가 공개적인 강탈 사이트에 나타나기 평균 30일 전에 피해자를 식별한다는 점을 확인하여, 랜섬웨어 배포를 방지하고 피해를 완화할 수 있는 중대한 기회를 제공했습니다. 인프라에는 타이포스쿼트 도메인, SEO 포이즈닝, 악용 후 활동을 위한 C2 인프라 등이 포함됩니다. 일반적으로 소프트웨어 설치 프로그램으로 위장한 CleanUpLoader가 Rhysida의 데이터 유출 및 지속성을 지원합니다. 특히 Rhysida는 의료 및 교육과 같은 부문을 대상으로 하며 Windows 및 Linux 기반 시스템 모두를 대상으로 삼습니다.

CleanUpLoader를 사용하여 시스템에 크롤링하는 Rhysida Ransomware

Rhysida와 같이 수준 높은 랜섬웨어 그룹이 전 세계 조직에 큰 영향을 미치고 있습니다. 이 그룹은 2023년 1월부터 활동했으며 지속적으로 전술을 발전시켜 왔습니다. Rhysida는 악용 후 활동을 위해 CleanUpLoader를 활용하며 심각한 피해를 입히는 것을 궁극적인 목적으로 시스템에 크롤링하는 것이 관찰되었습니다.

이 상세 분석에서는 Rhysida가 다계층 인프라와 CleanUpLoader를 사용하여 랜섬웨어 공격을 실행하는 방법과 Recorded Future의 Network Intelligence가 조기 탐지에 얼마나 중요한 역할을 했는지 자세히 살펴봅니다.

Rhysida의 공격 전략

Rhysida는 많은 최근 랜섬웨어 그룹과 마찬가지로 다계층 인프라를 사용하여 공격을 수행합니다. Recorded Future의 Network Intelligence의 지원을 받은 Insikt Group의 최신 분석은 Rhysida가 공격의 초기 단계를 실행하기 위해 인프라를 어떻게 사용하는지 보여줍니다.

Rhysida는 인기 있는 소프트웨어 다운로드 사이트와 비슷한 타이포스쿼트 도메인을 생성하여 사용자가 감염된 파일을 다운로드하도록 유도합니다. 이 기술은 검색 엔진 결과에서 해당 도메인의 순위를 높여 합법적인 다운로드 소스로 보이게 하는 SEO 포이즈닝과 함께 사용할 때 특히 효과적입니다. 사용자가 이러한 악성 도메인 중 하나를 클릭하면 CleanUpLoader를 호스팅하는 페이로드 서버로 리디렉션되며, 공격자는 이를 악용 후 단계에서 사용합니다.

CleanUpLoader

CleanUpLoader는 Rhysida가 공격 캠페인에 사용하는 다용도 백도어 멀웨어입니다. 이 멀웨어는 주로 Microsoft Teams나 Google Chrome과 같이 인기 있는 소프트웨어의 가짜 설치 프로그램으로 배포되어 대상 사용자가 자신도 모르게 이 멀웨어를 설치할 가능성이 큰 것으로 나타났습니다. CleanUpLoader는 지속성을 제공할 뿐만 아니라, 랜섬웨어가 배포되기 전에 Rhysida 행위자가 귀중한 데이터를 빼낼 수 있도록 합니다.

CleanUpLoader는 구성에 여러 개의 C2 도메인이 내장되어 있어 중복성을 보장하여 하나의 C2 서버가 오프라인 상태가 되더라도 운영을 유지할 수 있습니다. 백도어는 HTTPS를 통해 명령 및 제어(C2) 서버와 통신합니다.

Rhysida의 피해자 프로필

Rhysida의 랜섬웨어는 전 세계적으로 활동하며 다양한 분야에 영향을 미치며, 정부와 공공 부문이 주요 공격 대상입니다. 이러한 분야는 매우 민감한 데이터를 다루고 보안 조치가 불충분한 경우가 많아 특히 취약한 분야입니다.

대표적인 침해 사례로 꼽히는 2023년 런던의 에드워드 7세 왕립 병원에 대한 공격에서 Rhysida는 병원 직원과 영국 왕실 구성원을 포함한 환자들의 민감한 정보를 훔쳤다고 주장했습니다. 또한 칠레 육군과 콜럼버스시에 대한 공격은 Rhysida가 중요한 공공 부문 인프라에 침투할 수 있다는 점을 보여줍니다.

이 그룹의 특징 중 하나는 학교와 병원 등 이전에는 랜섬웨어 그룹이 공격할 수 없었던 분야를 공격하려 한다는 점입니다. 이는 최근 위협 공격자들이 더 무자비하게 접근하고 있다는 신호를 나타내며 랜섬웨어 윤리가 크게 바뀌었음을 의미합니다.

Recorded Future의 조기 탐지

Recorded Future의 Network Intelligence의 조기 탐지 기능은 랜섬웨어 퇴치의 판도를 바꾸는 것으로 입증되었습니다. Insikt Group은 Rhysida 피해자가 공개 강탈 사이트에 나타나기 평균 30일 전에 이러한 피해자를 탐지할 수 있음을 확인했습니다. 타이포스쿼트 도메인 및 CleanUpLoader C2 서버를 포함한 Rhysida의 인프라를 모니터링을 통해 이러한 탐지가 이루어졌습니다.

초기 감염과 랜섬웨어 배포 사이의 평균 드웰 타임(공격을 개시하기까지 걸리는 평균 시간)은 방어자에게 대응할 수 있는 중요한 기간을 제공합니다. 보안팀은 네트워크 통신 및 기타 침해 지표(IoC)를 조기에 식별하여 공격자가 데이터를 암호화하거나 몸값을 요구하기 전에 신속하게 대응하여 위협을 무력화할 수 있습니다.

선제적 방어: 핵심 사항

Rhysida 운영의 정교함을 고려할 때 이러한 랜섬웨어를 방어하려면 선제적이고 인텔리전스 중심적인 접근 방식이 필요합니다. Recorded Future의 Network Intelligence는 랜섬웨어 그룹의 인프라에 대한 가시성을 제공하여 방어자에게 도구, 전술, 절차에 대한 중요한 인사이트를 제공합니다.

다음은 Rhysida에 대한 주요 방어 전략입니다:

고급 위협 탐지: 조기 침해 지표와 탐지 규칙을 활용해 로그에서 사용자 지정 파일 검사 및 탐지를 제공하며 위협을 식별하고 이에 대응합니다.

Network Intelligence: Recorded Future Network Intelligence를 활용하여 Insikt Group의 선제적 인프라 검색과 광범위한 네트워크 트래픽 분석을 통해 조기에 유출을 탐지하고 랜섬웨어의 심화를 방지하세요.

사용자 교육: 악성 다운로드는 여전히 주요 감염 경로이므로 직원들에게 악성 다운로드에 대해 교육합니다. 패치 관리: 알려진 취약점의 악용을 방지하기 위해 모든 시스템이 최신 보안 패치로 업데이트되었는지 확인합니다.

백업: 랜섬웨어의 영향을 완화할 수 있도록 중요한 데이터를 정기적으로 백업하고 이러한 백업은 가급적 오프라인에 안전하게 저장하세요.

전망

Rhysida 랜섬웨어는 CleanUpLoader를 사용하여 매우 효과적이고 탐지가 어렵다는 점에서 산업 전반에 걸쳐 심각한 위협이 되고 있습니다. 그러나 보안팀이 Recorded Future의 Network Intelligence에서 제공하는 것과 같은 조기 탐지 방법을 사용하면 랜섬웨어가 배포되기 훨씬 전에 피해자를 식별하여 중요한 이점을 확보할 수 있습니다.

랜섬웨어 위협이 계속 진화함에 따라, 조직을 파괴적인 공격으로부터 보호할 때 공격자의 인프라를 선제적으로 모니터링하고 종합적인 인텔리전스 솔루션을 사용하는 것이 필수적입니다. 보안팀은 Rhysida의 전술을 이해함으로써 더 효과적인 방어 전략을 구현하고 이 랜섬웨어 및 발전된 기타 랜섬웨어 제품군의 영향을 완화할 수 있습니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.