꼰머의 보안공부

1. 개요

- 23.03.16 대상 기관이 데이터 유출 및 랜섬웨어 피해를 당했다고 사칭하는 피싱메일이 미국에서 발견

- 공격자는 자신들의 안내를 따르지 않을 시 DDoS 공격을 감행하겠다고 협박

- 국내에서도 랜섬웨어 및 DDoS 등 관련 피해가 급증하는 것으로 확인되어 주의 필요

2. 내용

- 공격자는 피싱메일에서 자신이 "Midnight"이라 소개

- 또 다른 메일에서 Midnight 그룹이 "Surtr 랜섬웨어"와 "Silent 랜섬웨어"를 사칭하는 것으로 확인됨

Surtr 랜섬웨어
- 2021년 말 처음 등장한 RaaS
- 파일 암호화 후 ".Surtr" 확장자 추가
- Revil 랜섬웨어 그룹과 협력했을 가능성이 존재

Silent 랜섬웨어
- 비싱(Vishing, VoIP + Phishing)으로 랜섬웨어 유포하며, 콜백 피싱으로도 불리는 기법을 이용
- 피해자에게 자동 결제 연장 등의 피싱메일 발송
- 피해자가 메일 내 제공된 전화번호로 연락
- 공격자는 피해자에게 정보를 요구하거나 문제 해결을 위해 RDP 등의 원격 접속 도구 등 설치 유도
- 설치된 원격 접속 도구를 이용해 네트워크 접속 및 랜섬웨어 유포

- 피해 대상을 어떤 기준으로 선정되었는지 불분명하나 DDW, SNS, 뉴스 등에서 정보를 얻었을 것으로 판단

- 그러나 일부 랜섬웨어 피해자가 포함되어 있어, 다른 랜섬웨어 조직과의 협력의 가능성도 대두

- 공격자는 메일을 통해 서버에서 900GB의 "필수 데이터"를 탈취 하였다고 주장

- 공격자는 대상의 고유 데이터를 사용하여 신뢰성을 부여하고, 실제 공격보다 훨씬 적은 비용을 요구

- 관련된 또 다른 메일에서는 피해자가 금전을 지불하도록 압력을 목적으로 DDoS 공격 협박

- "Phantom Squad"라는 이름을 가진 DDoS 협박 그룹의 방식과 유사

- 실제로 금전을 지불하지 않은 피해자에게 DDoS 공격을 진행하였으나, 낮은 수준의 공격크기 였음

Phantom Squad (팬텀 스쿼드)
- 금전을 지불하지 않으면 DDoS 공격을 하겠다고 협박한 스팸성 피싱메일로 다수 판단
- 그러나 실제로, Xbox Live, Sony PlayStation, Steam 등에 DDoS 공격을 감행한 이력이 있음
- 0.2 비트코인(~$720)을 요구

3. 참고

[1] https://www.bleepingcomputer.com/news/security/fake-ransomware-gang-targets-us-orgs-with-empty-data-leak-threats/
[2] https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000127&searchWrd=&menuNo=205021&pageIndex=1&categoryCode=&nttId=67084
[3] https://www.bleepingcomputer.com/news/security/ransomware-gangs-move-to-callback-social-engineering-attacks/
[4] https://www.bleepingcomputer.com/news/security/ddos-extortion-group-sends-ransom-demand-to-thousands-of-companies/