랜섬허브, 멀티 OS 기능과 높은 커미션율로 제휴사를 유치하다
2024년 2월에 등장한 새로운 서비스형 랜섬웨어(RaaS) 플랫폼인 랜섬허브는 Go와 C++로 작성된 멀웨어로 Windows, Linux 및 ESXi 시스템을 표적으로 삼습니다. 90%의 높은 수수료율로 인해 노련한 제휴사들이 몰려들면서 감염이 급증하고 있습니다. 랜섬허브의 계열사들은 18개국 45명의 피해자에게 영향을 미쳤으며, 주로 IT 부문을 표적으로 삼았습니다. 이 랜섬웨어는 클라우드 스토리지 백업과 잘못 구성된 Amazon S3 인스턴스를 활용하여 피해자를 탈취합니다. 인식트 그룹은 ALPHV 및 나이트 랜섬웨어와 코드가 겹치는 것을 확인하여 잠재적인 연관성을 시사했습니다. 조직에는 즉각적이고 장기적인 보안 조치를 취할 것을 권장합니다.
랜섬허브, 멀티 OS 기능과 높은 커미션율로 제휴사를 유치하다
랜섬허브는 2024년 2월 초에 처음 광고된 새로운 서비스형 랜섬웨어(RaaS)입니다. 언더그라운드 포럼 Ramp에서 "koley"라는 사용자가 처음 광고한 RansomHub는 바둑과 C++로 작성된 다목적 멀웨어로 인해 빠르게 주목을 받았습니다. 이 랜섬웨어는 Windows, Linux 및 ESXi 시스템을 표적으로 삼기 때문에 잠재적 피해자의 범위가 크게 확대됩니다. 이러한 다중 운영체제 표적화는 2022년과 2023년 사이에 다양한 운영체제를 공격하도록 설계된 멀웨어가 7배 증가한 광범위한 추세와도 일치합니다.
랜섬허브는 제휴사에게 90%의 수수료율을 제공하는데, 이는 RaaS 시장에서 흔히 볼 수 있는 80~90%보다 높은 편에 속합니다. 이러한 수익성은 다른 플랫폼의 노련한 제휴자들을 끌어들여 랜섬허브 관련 감염과 피해자가 급증할 가능성이 높습니다.
랜섬허브는 출시 이후 18개국에서 45명의 피해자를 발생시켰으며, IT 부문이 가장 빈번하게 공격 대상이 되었습니다. 이 패턴은 랜섬허브의 계열사들이 운영 중단으로 인한 심각한 재정적 영향 때문에 공격자들이 상당한 몸값을 지불할 가능성이 높은 고가의 표적에 집중하는 '대어 사냥'을 하고 있음을 시사합니다.
한 주목할 만한 사건에서, 랜섬허브 계열사는 잘못 구성된 Amazon S3 인스턴스를 활용하여 기본 공격 대상뿐만 아니라 동일한 백업 제공업체를 사용하는 다른 고객의 백업에도 액세스했습니다. 이 수법은 백업 솔루션 제공업체와 고객 간의 신뢰 관계를 악용하여 고객 데이터를 유출하겠다고 협박하여 백업 솔루션 제공업체를 갈취할 수 있었습니다. 최근 랜섬허브는 미국의 의료 기술 회사인 Change Healthcare에서 탈취한 4TB의 데이터를 판매해 주목을 받았습니다.
인싯트 그룹의 분석 결과, 랜섬허브와 ALPHV(블랙캣) 및 나이트 랜섬웨어와 같은 다른 랜섬웨어 그룹 간에 코드가 겹치는 것으로 나타났습니다. 이러한 유사점은 이러한 그룹 간의 연결 또는 공유 리소스 가능성을 시사합니다. 암호를 사용하여 임베디드 구성을 해독하는 랜섬허브의 전략은 위협 연구자들이 멀웨어를 동적으로 분석하는 것을 어렵게 만듭니다.
RansomHub의 ESXi 버전은 여러 인스턴스가 동시에 실행되는 것을 방지하기 위해 /tmp/app.pid라는 파일을 생성하는 고유한 전술을 사용합니다. 이 파일을 수정하면 랜섬웨어의 작동이 중단되어 영향을 받는 시스템에 대한 잠재적인 완화 전략을 제시할 수 있습니다.
완화 조치
Insikt Group은 사용자 환경에서 랜섬허브 랜섬웨어 파일의 존재 또는 실행을 탐지하는 데 사용할 수 있는 YARA 및 시그마 규칙을 만들었습니다. 이러한 규칙은 ESXi, Linux 및 Windows 변종에 적용됩니다. 또한 분석가는 엔드포인트 로깅을 검색하여 랜섬허브가 가상 머신(VM)을 중지하고 섀도 복사본을 삭제하고 인터넷 정보 서비스(IIS) 서비스를 중지하는 데 사용하는 명령줄 호출을 검색할 수 있습니다.
- powershell.exe -Command PowerShell -Command "" Get-VM | Stop-VM -Force""
- cmd.exe /c iisreset.exe /stop
- powershell.exe -Command PowerShell -Command "" Get-CimInstance Win32_ShadowCopy | Remove-CimInstance""
위의 탐지 외에도 랜섬웨어 감염 위험을 효과적으로 줄이려면 다음과 같은 일반적인 권장 사항을 따라야 합니다.
- 네트워크 격리: 네트워크를 세분화하여 랜섬웨어의 측면 이동을 제한하세요.
- SIEM: 중앙 집중식 로깅 및 탐지를 위한 보안 정보 및 이벤트 관리를 구현하세요.
- 엔드포인트 탐지: 엔드포인트 탐지 및 대응(EDR) 서비스를 YARA 및 시그마 규칙과 함께 사용하세요.
- 최소 권한 액세스: 원격 액세스 서비스를 위한 최소 권한 액세스 및 다단계 인증을 구현하세요.
- 데이터 백업 및 복구: 정기적으로 데이터를 백업하고 오프라인 또는 분리된 세그먼트에 백업을 저장하세요.
- 솔루션 제공업체 평가: 일관된 시스템 감사를 위해 제공업체와 협력하세요.
- 패치 관리: 모든 애플리케이션과 운영 체제를 최신 패치와 업데이트로 최신 상태로 유지하세요.
- 기록된 미래 헌팅 패키지: 레코딩된 미래 헌팅 패키지에 있는 것과 같은 YARA 및 시그마 규칙을 구현하여 서명 기반 탐지 또는 엔드포인트 기반 탐지를 위한 Snort 규칙을 통해 멀웨어를 식별합니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
관련