새로운 랜섬웨어 그룹인 Haron과 BlackMatter, 사이버 범죄 포럼에 등장

 

 

New Ransomware Gangs — Haron and BlackMatter — Emerge on Cybercrime Forums

 

이번 달, 새로운 서비스형 랜섬웨어(RaaS) 프로그램 2개가 발견되었습니다. 이 중 한 그룹은 지난 몇 달 동안 Colonial Pipeline과 Kaseya에 실행된 주요 공격 이후 활동을 중단한 DarkSide과 Sodinokibi의 후임이라 공언했습니다.

 

새로운 BlackMatter 그룹의 운영자는 다크넷의 공개 블로그에서 “이 프로젝트는 DarkSide, Sodinokibi, LockBit의 최고의 기능만을 모았다"고 홍보하며 의료 시설 및 석유/가스, 방위, 비영리, 정부 부문과 같은 중요 인프라는 공격하지 않겠다고 약속했습니다.

 

Flashpoint에 따르면, BlackMatter 공격자는 지난 7월 19일 러시아어 포럼인 XSS와 Exploit에 계정을 생성했으며 미국, 캐나다, 호주, 영국에서 호스트되는 해킹된 기업 네트워크 500~15,000곳에 대한 접근 권한을 구매하겠다는 게시물을 올렸습니다.

 

연구원들은 보고서에서 아래와 같이 언급했습니다.

 

“공격자는 에스크로 계정에 4 비트코인 (약 15만 달러 상당)을 예치했습니다. 포럼에 이 같이 많은 금액을 예치한 것은 이 공격자가 진지한 자세를 취하고 있다는 것을 의미합니다.”

 

 

<이미지 출처 : https://www.flashpoint-intel.com/blog/chatter-indicates-blackmatter-as-revil-successor/>

 

 

해당 그룹은 7월 27일부터 Exploit 포럼의 Jabber 서버를 통해 파트너 및 계열사를 적극적으로 모집하기 시작한 것으로 나타났습니다. 이들은 윈도우 및 리눅스 시스템에 대해 잘 알고 있는 경험이 풍부한 침투 테스터와 접근 권한을 판매하고자 하거나 수익의 일정 부분을 나누고 함께 일할 초기 접근 권한 제공자를 찾고 있습니다.

 

지난달, 기업 보안 회사인 Proofpoint는 랜섬웨어 조직이 주요 타깃에 침투한 다음 데이터 탈취 및 랜섬웨어를 배포하는 침투 포인트를 제공하는 사이버 범죄 그룹으로부터 액세스 권한을 구매하는 방식이 점점 증가하고 있다고 밝혔습니다.

 

BlackMatter의 출현 시기는 널리 알려진 Colonial Pipeline, JBS, Kaseya의 랜섬웨어 사고 이후 DarkSide, Sodinokibi 랜섬웨어가 사라진 시점과 일치해 해당 그룹이 브랜드를 변경하고 활동을 재개한 것이라는 추측을 불러 일으키고 있습니다.

 

새로운 랜섬웨어 그룹은 BlackMatter 뿐만이 아닙니다.

 

한국의 보안 회사인 S2W Labs는 이 달 등장한 Haron에 대해 공개했습니다. 해당 랜섬웨어는 Thanos 및 지금은 사라진 랜섬웨어인 Avaddon을 크게 차용한 것으로 알려졌습니다.

 

 

 

 

출처:

https://thehackernews.com/2021/07/new-ransomware-gangs-haron-and.html

https://www.flashpoint-intel.com/blog/chatter-indicates-blackmatter-as-revil-successor/

https://medium.com/s2wlab/quick-analysis-of-haron-ransomware-feat-avaddon-and-thanos-1ebb70f64dc4