EMSISOFT 랜섬웨어 다크사이드에 관한 이야기

다크사이드는 주로 민간 부문의 대규모 조직을 대상으로하는 랜섬웨어 유형입니다. 이 단체는 2020년 8월에 등장한 이후 매우 활동적이었으며, 몸값 요구가 일반적으로 6자리와 7자리 범위로 떨어지는 등 이미 수백 명의 피해자를 냈습니다. 다크사이드는 전문성의 얇은 베니어로 운영되며 합법적인 기업에서 볼 수있는 것과 유사한 기업 스타일의 프로세스를 따릅니다.

다크사이드가 처음 발견 된 이후 랜섬웨어 피해자가 자신의 파일을 암호화 한 랜섬웨어를 식별하는 데 도움이되는 온라인 도구 인 ID 랜섬웨어에 114 건의 제출이 있었습니다 (모든 피해자가 ID 랜섬웨어를 사용하는 것은 아니므로이 숫자를 성공한 총 공격 횟수로 간주해선 안된다). 이 기간 동안 그룹은 수요 지불을 거부 한 것으로 추정되는 80 개 이상의 조직에서 도난당한 데이터를 유출 사이트에 게시했습니다.

 

다크사이드란 무엇인가?

 

다크사이드는 SALSA20 및 RSA-1024 암호화를 사용하여 파일을 암호화하는 랜섬웨어 변종이며 일반적으로 해독을 위해 $ 200,000 ~ $ 2,000,000 범위의 몸값을 요구합니다. 다크사이드는 암호화 방법이 시장에서 가장 빠르며 Windows 및 Linux 환경에서 모두 사용할 수있는 랜섬웨어 버전을 제공한다고 주장했습니다. 다른 많은 랜섬웨어 그룹과 마찬가지로 다크사이드는 이중 갈취를 활용하여 위협 행위자가 표적의 데이터를 암호화 할뿐만 아니라 랜섬 요구가 지불되지 않으면 유출하고 공개하겠다고 위협했습니다. 

 

다크사이드는 Raas (ransomware-as-a-service) 모델로 운영되며, 제휴사는 피해자의 네트워크에 악성 코드를 배포하는 대가로 몸값의 일부를받습니다. 다크사이드 계열사는 그들이 창출하는 몸값 지불의 75%에서 90%를 벌고 나머지 부분은 다크사이드 그룹으로 가게됩니다.

 

다크사이드는 합법적 인 비즈니스에서 많은 운영 단서를 가져옵니다. 실제 회사와 마찬가지로 이 그룹은 보도 자료를 발행하고 실시간 채팅 지원을 제공하며 소프트웨어 업데이트를 게시하며 새로운 계열사를 유치하기 위한 거래를 제공합니다. 이 그룹은 또한 계열사가 특정 부문을 표적으로 삼아 DarkSide의 평판을 손상시킬 수있는 조치를 수행하고 동일한 캠페인에서 경쟁사의 랜섬웨어를 배포하는 것을 금지하는 행동 강령을 시행한다고 주장합니다.

 

다른 유형의 랜섬웨어와 마찬가지로 DarkSide는 일반적으로 GetSystemDefaultUILanguage 및 GetUserDefaultLangID를 모두 사용하여 자동 언어 검사를 수행하며 다음 언어 중 하나가 감지되면 데이터를 암호화하지 않고 종료됩니다.

 

■ 러시아어
■ 우크라이나어
■ 벨라루스 어
■ 타직어
■ 아르메니아어 – 아르메니아
■ 아제르 어 (라틴 문자)
■ 조르지아 주 어 
■ 카자흐어
■ 키르기스 어 (키릴 자모)
■ 투르크멘어
■우즈베크 어 (라틴 문자)
■ 타타르어
■ 루마니아어 – 몰 다바
■ 러시아어 – 몰 다바
■ 아제르 어 (키릴 자모)
■ 우즈벡어 (키릴 자모)
■ Arabi – 시리아

 

 

다크사이드의 역사

 

다크사이드는 다른 랜섬웨어 작업의 계열사로 일하면서 수백만 달러를 벌었다고 주장하는 사이버 범죄자 집단에 의해 만들어졌습니다. 이 그룹은 자신들의 요구에 맞는 "완벽한 제품"을 찾지 못하자 새로운 랜섬웨어 변종을 만들기 위해 함께 모였습니다. 다크사이드는 2020 년 8 월에 처음 관찰 된 이후 매우 활동적이었으며 여러 업종에 걸쳐 수백 개의 조직에 영향을 미쳤습니다. 

 

2020 년 10 월 다크사이드는 Children International과 The Water Project라는 두 개의 자선 단체에 비트 코인으로 10,000 달러를 기부했다고 발표했습니다. 다크 웹에 게시 된 블로그 게시물에서 단체는 다음과 같이 적었습니다. “회사가 지불 한 돈 중 일부가 자선 단체에 기부되는 것이 공정하다고 생각합니다. 우리의 일이 아무리 나쁘다고 생각하시더라도, 우리는 우리가 누군가의 삶을 바꾸는데 도움이 되었습니다." 범죄의 결과로 얻은 자금을받는 것은 불법이므로 두 기부금이 압수되거나 반환되었을 가능성이 있습니다. 

 

 

다크사이드의 랜섬노트

 

대상 시스템을 암호화 한 후 다크사이드는 감염된 모든 디렉터리에 "README. {userid} .TXT"라는 사용자 지정 랜섬 노트를 삭제합니다. 이 메모에는 도난당한 데이터의 양, 도난당한 데이터 유형, 도난당한 데이터가 유출 될 위치에 대한 링크 및 TOR 브라우저를 통해 DarkSide 운영자와 통신하는 방법에 대한 지침이 포함되어 있습니다.

 

 

해독기 성능

 

성능 테스트에 따르면 DarkSide의 암호 해독 도구는 초당 평균 231.40MB의 파일 암호를 해독하므로 1TB의 암호화된 데이터를 해독하는 데 72분이 걸립니다. 이에 비해 Universal Decryptor 도구는 단 27 분만에 해당 데이터를 복구 할 수 있습니다. Universal Decryptor는 암호 해독 키가 제공되는 경우 거의 모든 유형의 랜섬웨어를 해독하도록 사용자 지정할 수 있습니다. 다음 차트는 Conti, DarkSide, Defray 및 Ryuk 랜섬웨어 그룹에서 제공하는 암호 해독 도구와 비교하여 Emsisoft 범용 암호 해독기의 성능을 보여줍니다.

암호화된 데이터 세트: 크기가 1바이트에서 10GB에 이르는 56GB의 2,234개 파일 크기.

 

 

다크사이드의 타겟은 누구인가?

 

다른 많은 거물 랜섬웨어와 마찬가지로 다크사이드는 주로 큰 몸값 요구 사항을 지불 할 리소스를 보유한 대규모 조직을 대상으로합니다. 

 

그러나 대부분의 다른 랜섬웨어 작업과 달리 다크사이드는 계열사가 공공 부문의 조직을 표적으로 삼는 것을 금지합니다. 실제로 다크사이드의 행동 강령에 따르면 다음과 같은 금지 대상 목록이 있습니다.

 

■ 병원
■ 요양원
■ 완화 치료 기관
■ COVID-19 백신의 배포 및 개발에 참여하는 회사.
■ 영안실
■ 장례식장
■ 화장터
■ 학교
■ 대학
■ 지자체 및 주 기관
■ 비영리 단체

 

 

다크사이드는 어떻게 퍼지는가?

 

DarkSide 감염은 일반적으로 취약한 원격 서비스의 공격에서 시작됩니다. 네트워크가 침해 된 후 공격자는 TOR 및 / 또는 Cobalt Strike를 통해 라우팅되는 RDP 클라이언트를 통해 명령 및 제어를 설정하고, 정찰 단계에서 공격자는 Mimikatz, advanced_ip_scanner.exe 및 psexec와 같은 잘 알려진 도구를 사용하여 자격 증명을 도용하고 도메인 관리자 자격 증명을 얻을 때까지 측면으로 확산합니다. 

 

랜섬웨어는 위협 행위자가 대상 환경을 매핑하고 데이터를 추출하고 암호화를위한 시스템을 준비 할 때까지 배포되지 않습니다. 랜섬웨어는 공격을받는 특정 조직에 맞게 사용자 정의 된 고유 한 실행 파일 형태로 제공됩니다. 그런 다음 맬웨어는 대상 시스템에서 섀도 복사본을 삭제하려고 시도하고 암호화를 지연시킬 수있는 프로세스를 종료하고 마지막으로 암호화 프로세스를 시작합니다. 암호화 된 파일에는 피해자 MAC 주소의 사용자 정의 체크섬을 사용하여 만든 고유 한 확장자가 추가됩니다.

 

다크사이드는 다양한 방식으로 제공 할 수있는 RaaS이므로 공격의 특정 구조는 사고마다 다를 수 있습니다.

 

 

주요 다크사이드 공격

 

Companhia Paranaense de Energia : 2021 년 2 월, 브라질의 국영 전력 회사 인 Companhia Paranaense de Energia는 DarkSide의 영향을 받았습니다. 사건 당시 공격자들은 민감한 인프라 액세스 정보, 관리 및 직원의 개인 정보, 일반 텍스트 암호 및 중요한 Active Directory 데이터를 포함하여 1,000GB 이상의 회사 데이터를 훔친 것으로 알려졌습니다.

 

CompuCom : 2021 년 3 월, 미국 관리 서비스 제공 업체 인 CompuCom이 DarkSide에 감염되었습니다. 이 공격으로 인해 수많은 서비스가 중단되고 일부 고객은 CompuCom 고객 포털에 액세스할 수 없었지만 악성 프로그램은 고객 시스템으로 확산되지는 않았습니다. CompuCom은 이번 사고로 500만~800만 달러의 매출 손실이 발생했으며 복구 관련 비용은 최대 2000만 달러에 이를 것으로 추산했습니다.

 

Colonial Pipeline : 2021 년 5 월 미국에서 가장 큰 연료 파이프 라인 인 Colonial Pipeline이 다크사이드의 공격을 받았습니다. 이 회사는 위협을 막기 위해 일부 IT 시스템을 중단해야했으며, 이로 인해 모든 파이프 라인 운영이 일시적으로 중단되고 미국 동부 대부분의 석유 공급망이 크게 중단되었습니다. 이 공격은 교통부에서 긴급 선언을 촉발했고, 석유 및 가스의 대체 운송 경로를 확보하기 위해 운전자에 대한 규제를 해제하는 것이 포함되었습니다.

 

 

다크사이드 및 기타 랜섬웨어로부터 네트워크를 보호하는 방법

 

다음 방법은 조직이 다크사이드 사고의 위험을 줄이는 데 도움이 될 수 있습니다.

 

■ 사이버 보안 인식 교육 : 대부분의 랜섬웨어는 사용자가 시작한 작업을 통해 확산되기 때문에 조직은 최종 사용자에게 사이버 보안의 기본을 교육하는 데 초점을 맞춘 교육 이니셔티브를 구현해야합니다. 랜섬웨어 및 전파 방법은 지속적으로 진화하고 있으므로 최종 사용자가 현재 위협에 대처할 수 있도록 교육은 지속적인 프로세스 여야합니다.

 

■ 자격 증명 위생 : 우수한 자격 증명 위생을 실행하면 무차별 대입 공격을 방지하고 자격 증명 도용의 영향을 완화하며 무단 네트워크 액세스의 위험을 줄일 수 있습니다.

 

■ 다단계 인증 : MFA는 계정, 도구, 시스템 및 데이터 저장소에 대한 무단 액세스를 방지 할 수있는 추가 보안 계층을 제공합니다. 조직은 가능하면 MFA 활성화를 고려해야합니다.

 

■ 보안 패치 : 모든 규모의 조직은 공격 기회를 최소화하기 위해 모든 엔드 포인트, 서버 및 어플라이언스에 대한 보안 업데이트가 가능한 한 빨리 적용되도록하는 강력한 패치 관리 전략을 가져야합니다.

 

■ 백업 : 백업은 랜섬웨어 사고의 영향을 완화하는 가장 효과적인 방법 중 하나입니다. 많은 종류의 랜섬웨어가 네트워크를 통해 측면으로 확산되고 로컬에 저장된 백업을 암호화 할 수 있으므로 조직은 혼합 된 미디어 스토리지를 사용하고 온 사이트와 오프 사이트 모두에 백업 사본을 저장해야합니다.

랜섬웨어 방지 백업 생성에 대한 자세한 내용은이 가이드를 참조하십시오.

 

■ 시스템 강화 : 네트워크, 서버, 운영 체제 및 애플리케이션을 강화하는 것은 공격 표면을 줄이고 잠재적 인 보안 취약성을 관리하는 데 중요합니다. PowerShell, RDP, Windows Script Host, Microsoft Office 매크로 등과 같이 불필요하고 잠재적으로 악용 될 수있는 서비스를 비활성화하면 초기 감염 위험이 줄어들고 최소 권한 원칙을 구현하면 측면 이동을 방지 할 수 있습니다.

 

■ 매크로 차단 : 많은 랜섬웨어 제품군은 매크로 내장 Microsoft Office 또는 PDF 문서를 통해 제공됩니다. 조직은 매크로 사용을 검토하고 인터넷에서 모든 매크로를 차단하는 것을 고려하고 검증되고 승인 된 매크로 만 신뢰할 수있는 위치에서 실행되도록 허용해야합니다.

 

■ 이메일 인증 : 조직은 보낸 사람 정책 프레임워크, 도메인 키식별 메일, 도메인 기반 메시지 인증, 보고 및 준수와 같은 다양한 이메일 인증 기술을 사용하여 이메일 스푸핑을 감지하고 의심스러운 메시지를 식별 할 수 있습니다.

 

■ 네트워크 분리 : 효과적인 네트워크 분리는 인시던트를 억제하고 맬웨어의 확산을 방지하며 더 넓은 비즈니스에 대한 중단을 줄이는 데 도움이됩니다.

 

■ 네트워크 모니터링 : 모든 규모의 조직은 가능한 데이터 유출 채널을 모니터링하고 의심스러운 활동에 즉시 대응할 수있는 시스템을 갖추고 있어야합니다.

 

■ 침투 테스트 : 침투 테스트는 IT 인프라의 취약성과 직원의 랜섬웨어에 대한 취약성을 밝혀내는 데 유용 할 수 있습니다. 테스트 결과는 IT 리소스를 할당하고 향후 사이버 보안 결정을 알리는 데 사용할 수 있습니다.

 

■ 사고 대응 계획 : 조직은 감염시해야 할 일을 정확히 설명하는 포괄적 사고 대응 계획을 마련해야합니다. 신속한 대응은 맬웨어의 확산을 방지하고 중단을 최소화하며 사고를 최대한 효율적으로 해결하는 데 도움이 될 수 있습니다.

 

 

다크사이드 및 기타 랜섬웨어를 제거하는 방법

 

다크사이드는 현재 공격자가 제공 한 암호 해독 도구에 대한 비용을 지불하지 않고는 데이터를 해독 할 수 없도록하는 정교한 암호화 방법을 사용합니다.

 

다크사이드의 피해자는 조직의 사고 대응 계획에 정의되어야하는 프로세스를 사용하여 백업에서 시스템을 복원 할 준비가되어 있어야합니다. 다음 조치가 권장됩니다.

 

■ 위협을 억제하기위한 조치를 취하십시오.

■ 감염 정도 확인하기.
■ 감염원 확인하기.
■ 증거를 수집하십시오.
■ 백업에서 시스템을 복원하십시오.
■ 네트워크의 모든 장치가 깨끗한 지 확인하십시오.
■ 포괄적 인 포렌식 분석을 수행하여 공격 벡터, 사고 범위 및 데이터 유출 범위를 확인합니다.
■ 반복적 인 사고의 위험을 줄이기 위해 취약성을 식별하고 강화합니다.

 

Emsisoft는 랜섬웨어의 영향을받는 조직이 다운 타임, 비용 및 영구적 인 데이터 손실 위험을 줄이는 데 도움이되는 맞춤형 랜섬웨어 자문 서비스를 제공합니다. 문의하십시오.

 

Emsisoft 악성 코드 연구실
랩 팀은 Emsisoft 제품의 보호 기능을 강화하고 조직이 보안 사고에 대응하도록 돕고 의사 결정자가 위협 환경을 이해하는 데 도움이되는 분석을 생성하는 것을 임무로하는 사이버 보안 연구원 그룹입니다.

 

https://www.emsisoft.co.kr 

랜섬웨어 예방 백신, 엠시소프트 | Emsisoft 안티멀웨어