Hide and Seek
With contribution from Denise Denise Dasom Kim, Jungyeon Lim, Yeonghyeon Jeong | S2W LAB Talon
Image from unsplash
SoW: Ransomware는 다크웹 내 랜섬웨어의 활동을 요약하는 보고서를 발행합니다. 본 보고서에는 주간 피해 기업 통계, 공격 대상 국가 TOP 5, 공격 대상 산업군 TOP 5, 다크웹 내에서 활동 중인 주요 랜섬웨어가 작성한 게시글 현황 등을 포함합니다.
요약
- [통계] 랜섬웨어 피해기업은 1주일간 46개로 전 주와 동일, 피해 기업의 수는 여전히 미국이 43.5%로 가장 많으며 그 다음으로는 프랑스가 21.7%를 차지하고 있음
- [다크웹] LockBit 2.0 리뉴얼과 함께 제휴 파트너 프로그램을 Leak site에서 운영하기 시작한 LockBit
- [다크웹] Clop 랜섬웨어 조직 일당 6명 검거 후, Clop 랜섬웨어의 Leak site는 여전히 활동 중이며, 올해 중 가장 낮은 활동량을 보이고 있음
- [비트코인] Revil, LockBit 랜섬웨어의 피해 자금 흐름을 추척하면 Wasabi Wallet의 coinjoin을 사용하는 것을 확인할 수 있음
1. 주간 통계
A. 피해 기업 통계
다크웹 내 랜섬웨어 피해 기업 현황 (06/14~06/20)
- 총 46개 기업 언급 또는 상태 변화 감지
- 10개의 공격그룹 활동
- 6월 1일부터 6월 19일까지 활동이 없었던 Everest 랜섬웨어 Leak 사이트가 지난 6월 20일부터 피해 기업 정보를 활발히 업데이트하고 있음
B. 공격 대상 국가 TOP 5
- United States — 43.5%
- France — 21.7%
- Brazil & United Kingdom — 6.5%
- Canada — 4.3%
- India & Italy & Spain — 2.2%
C. 공격 대상 산업군 TOP 5
- Manufacturer & Services- 13.0%
- Financial — 10.9%
- Consultancy & Industrial & IT — 6.5%
- Agriculture & Consumer goods & Store — 4.3%
- Retail & Materials & Sports & Transportation — 2.2%
D. 랜섬웨어 그룹별 데이터 유출 사이트 운영 상황
- 매일 자정을 기준으로 Ransomware Leak site의 alive 여부를 체크하였을때, 하루 평균 21개의 사이트가 접속 가능하며, 4개의 사이트가 접속이 불안정함
2. 주간 다크웹 내 활동 중인 랜섬웨어 관련 주요 사건
A. Still alive Clop ransomware gang
“Ukraine arrests Clop ransomware gang members, seizes servers” 기사에서 언급한 Clop 랜섬웨어 관련 내용은 다음과 같다.
https://www.bleepingcomputer.com/news/security/ukraine-arrests-clop-ransomware-gang-members-seizes-servers/
- 우크라이나 사법 당국은 Clop 랜섬웨어 조직 일당 중, 6명을 검거하였으며, 검거된 범죄자들이 핵심 구성원인 지, 랜섬웨어 운영자와 제휴를 맺고 활동한 개인인 지는 밝혀지지 않은 상태
- 우크라이나 경찰에 따르면, 수도와 Kyiv 지역에서 검거된 6명의 집과 차고에서 21건의 수색을 진행하였으며, 현재 최대 8년의 징역형에 처해질 예정
- Intel 471에 따르면, 이들은 핵심 구성원이 아닌 현금 인출/자금 세탁과 관련된 범죄자이며 핵심 구성원은 러시아에 있을 것이라고 추정하였음
위의 내용이 포함된 기사가 발표된 6월 16일을 기점으로 Clop 랜섬웨어 Leak 사이트는 폐쇄되지 않았으며, 여전히 활동 중이다.
Clop 랜섬웨어 Leak 사이트에서 피해 기업 유출 정보의 업데이트 빈도를 기준으로 가시화한 2021년 1월부터 6월까지의 Clop 랜섬웨어의 활동량은 다음과 같다.
- 월초에 피해 기업의 유출 정보 업데이트를 가장 많이 하였으며, 2월 중순부터 5월 중순까지는 꾸준한 활동량을 보여줌
- 5월 중순부터 활동량이 줄어들기 시작하였으며, 이전에 활동량이 꾸준할 당시의 그래프보다 확연히 감소된 활동량을 보여주고 있음
B. LockBit 운영자의 최근 활동 및 LockBit 2.0 리뉴얼
LockBit Renewal after the Prodaft Report
- 한 유저가 최근 prodaft에서 발표한 LockBit 보고서에 대해서 언급하며 리셀러의 정보, IP 주소를 탈취하는 데 사용한 취약점에 대해 질문하였음
- Exploit.in에서 활동 중인 LockBit 운영자가 코멘트에서 누군가로 부터 받은 취약점 공격과 사전에 침투테스트를 진행한 내용을 언급하였으며, 취약점에 대한 자세한 내용은 밝히지 않음
- LockBit 운영자의 입장에 따르면, 공격자가 0-day 취약점을 활용한 것이 아니라 인젝션 공격을 활용하였다라는 내용을 언급함
LockBit renewal the leak site of Ransomware
- New Leak site URL: lock****.onion
- 현재 Leak site에서는 게시된 피해 기업 정보가 없음
- 기존에 LockBit 운영자의 경우, 제휴 파트너를 DDW 포럼에서 모집하였으며 현재는 Leak site에서 모집하는 방식으로 전환하였음
- 제휴 파트너를 위해 활동 방법과 다른 랜섬웨어와의 차이점을 상세히 정리하였으며, 암호화 속도와 Leak site에서의 피해 기업 정보 다운로드 속도가 가장 빠르다고 소개하고 있음
C. A cryptocurrency analysis of Revil ransomware
- Revil 랜섬웨어의 피해기업 JBS가 지불한 비트코인의 자금 흐름을 분석하면 Wasabi Wallet의 Coinjoin 흔적을 찾을 수 있음
- 약 21 BTC을 Wasabi Wallet의 coinjoin 패턴으로 전송
- Last Transactions : 2021–06–02 14:26
- Bitcoin Address : bc1qr2kdlzdtrcm7ldkle78kfd75em4c0gj8mselzj
- 또한 JBS가 지불한 전체 금액(301 BTC) 중 90%에 해당되는 금액 약 210 BTC을 보유한 주소가 아직 추가적인 거래가 없이 남아있는 상태
- Last Transactions : 2021–06–02 15:58
- Bitcoin Address : bc1q3hapxu8n2g2s00rluzz803lzpkwgz9fh097vxu
- 추후 coinjoin 진행 및 거래소를 통해 인출하는 등 추가 행위를 할 것으로 보이며, 해당 주소에 대한 지속적인 모니터링이 필요함
- Binance에서도 자금세탁방지(AML) 정책 위반을 사유로 Wasabi Wallet에 비트코인을 전송하려했던 사용자의 계정을 정지했던 사례가 있음
https://www.coindesk.com/binance-blockade-of-wasabi-wallet-could-point-to-a-crypto-crack-up
D. About Wasabi Wallet
- Wasabi Wallet은 coinjoin 서비스를 지원하는 무료 소프트웨어로 랜섬웨어 오퍼레이터들이 자금 흐름 추적을 어렵게 하기 위해 자주 사용함
- Wasabi Wallet은 Tor 익명 네트워크를 통해 신뢰할 수 없는 Coinjoin 거래를 생성함. Coinjoin을 위해 참가자는 제3(Wasabi)자에게 BTC를 이전한 뒤 새로운 주소를 출력으로 거래를 구축
- 여러 참가자가 Wasabi에게 Input으로 코인을 제공하고 새로운 주소로 바꾸어 다시 지갑으로 받는 형태
- Wasabi Wallet은 bech32 주소를 사용하여 비트코인 주소가 항상 “bc1”으로 시작하는 특징이 있음
- 특정 트랜잭션에서 “bc1”으로 시작하는 주소로 동일하거나 비슷한 금액을 여러곳으로 분배한다면 Wasabi coinjoin을 수행한 것을 의심할 수 있음
결론
- LockBit 2.0의 등장과 함께 새로운 제휴 프로그램 활동을 시작한 LockBit
- 비트코인 추적을 피하기 위해 범죄자들이 많이 사용하는 WASABI WALLET의 coinjoin 기능, Revil과 LockBit이 현재 사용하고 있으며 본 보고서에서 언급한 210BTC 주소는 모니터링이 필요함
- Clop Ransomware 는 여전히 활동중인 것으로 확인되며 활동에 예의 주시할 필요가 있음
- Homepage: https://www.s2wlab.com
- Facebook: https://www.facebook.com/S2WLAB/
- Twitter: https://twitter.com/s2wlab
W4 Jun | KO | Story of the week: Ransomware on the Darkweb was originally published in S2W LAB BLOG on Medium, where people are continuing the conversation by highlighting and responding to this story.
Article Link: W4 Jun | KO | Story of the week: Ransomware on the Darkweb | by Hyunmin Suh | S2W LAB BLOG | Jun, 2021 | Medium