W4 May | KR | Story of the week: Ransomware on the Darkweb

Malware Analysis
1

An Unwanted Guest

Co-Author: Denise Dasom Kim, Jungyeon Lim @ Talon

SoW: Ransomware는 다크웹 내 랜섬웨어의 활동을 요약하는 보고서를 발행합니다. 본 보고서에는 주간 피해 기업 통계, 공격 대상 국가 TOP 5, 공격 대상 산업군 TOP 5, 다크웹 내에서 활동 중인 주요 랜섬웨어가 작성한 게시글 현황 등을 포함합니다.

요약

5월 13일 러시안 해킹 포럼 XSS[.]IS 관리자는 랜섬웨어의 관련한 모든 홍보 관련 게시글과 랜섬웨어 운영자들의 계정들을 모두 금지 시켰다. 이 사건의 트리거를 당긴 것은 다크사이드 랜섬웨어의 콜로니얼 파이프 라인 감염 사태였다.

미국 정부와 FBI가 본격적으로 수사망을 좁혀오자 Darkside 랜섬웨어 운영서버는 폐쇄되었고, 그들을 받아주던 러시안 해킹포럼 조차 게시물을 삭제하면서 꼬리자르기를 시작 했다. XSS포럼을 시작으로 Exploit, Raidforums까지 다크웹과 딥웹을 대표하는 3대 사이트가 모두 랜섬웨어 운영자들을 금지시켰고, 물론 남은 랜섬웨어 운영자들의 실망섞인 게시물들도 많았다. REvil, LockBit, Avaddon 등 해킹 포럼에서 활동하던 계정 대부분이 포럼내 활동을 중지하거나, 자체적인 플랫폼으로 이전할 것을 공표하였다.

그들은 어디로 갔을까? 모든 포럼에서 랜섬웨어 활동을 금지 시킨 이후 어떤 변화가 있을지 알아보자.

1. 주간 통계

A. 다크웹 내 랜섬웨어 피해 기업 현황 (05/17 ~ 05/24)

  • 총 67개 기업 언급 또는 상태 변화 감지
  • 총 10개의 공격그룹 활동

B. 공격 대상 국가 TOP 5

  1. United States — 44.6%
  2. Germany — 10.8%
  3. United Kingdoms — 6.2%
  4. Italy — 6.2%
  5. Australia — 4.6%

C. 공격 대상 산업군 TOP 5

  1. Industrials — 13.8%
  2. Services — 12.3%
  3. Transportation — 10.8%
  4. Health Care — 7.7%
  5. Technology — 6.2%

2. 주간 다크웹 내 활동 중인 랜섬웨어 관련 주요 게시글

A. XSS 포럼

5월 13일 다크웹 최대 해킹포럼 중 하나인 XSS포럼 운영자가 더이상 랜섬웨어에 관련된 컨텐츠는 허용하지 않는다라고 발표했다. 특히 아래와 같은 내용에 대해 제한한다고 한다.

- Ransomware affiliate programs;
- Ransomware rental;
- sale of lockers (ransomware software);

즉, Ransomware affiliate program으로 관련 파트너 모집 글을 홍보할 수 없고, Ransomware-as-a-Service (RaaS) 형태 또는 랜섬웨어 소프트웨어 자체를 판매하는 행위를 금한다고 한다.

물론 이 글은 현재 운영중이었던 랜섬웨어 운영자들에게도 적잖은 충격을 주었다. 일례로 LockBit 랜섬웨어 운영자는 “갑자기..”라는 댓글과 함께 일종의 배신감을 느낀 것으로 보인다.

하지만 이 글이 올라오고 얼마뒤 Exploit포럼과 Raidforums에서 각각 운영자들이 같은 규정과 함께 운영자에 의해 공고되었다.

B. Exploit & Raidforums

2021.05.14 Raidforums에 랜섬웨어 관련 컨텐츠는 허용하지 않겠다는 포스트

2021.05.15 Exploit포럼에도 올라온 랜섬웨어 관련 컨텐츠는 모두 금지하겠다는 운영자의 공지사항

3. 랜섬웨어 운영자들의 다음 행보

A. Revil (Sodinokibi)

  • XSS포럼 운영자의 방침 변화로 인해 REvil은 Exploit에서도 역시 은퇴를 선언, 개인 플랫폼으로 전환할 것으로 선언함

B. Babuk

Source: Bleeping Computer (https://www.bleepingcomputer.com/news/security/babuk-ransomware-readies-shut-down-post-plans-to-open-source-malware/)
  • 2021.04.29 해외 언론에는 Babuk 랜섬웨어가 BABUK 프로젝트는 폐쇄할 예정이며 소스코드는 외부에 공개할 예정이라며 ‘Hello World 2’라는 포스트를 남기며 떠날 것처럼 하였다.
I not so long ago wrote about the closure of babuk, yes, you all correctly understood babuk as a RaaS will be closed, but it will live in its new understanding, we are a promoted brand with the best pentesters of dark net
We are a young project and everyone already knows about us, during this time we have gone ahead of other groups, we respect other groups but not all
Babuk changes direction, we no longer encrypt information on networks, we will get to you and take your data, we will notify you about it if you do not get in touch we make an announcement.
Also for other groups that do not have their own blog or have but they want to exert additional pressure, you can not be placed with us.
We are open to offers in tox: ****Sanitized by S2W LAB
  • 하지만 불과 하루가 지난 후 Hello World 3라는 포스트와 함께 등장했으며 Babuk은 더이상 암호화 보다는 데이터 탈취에 중점을 둘것이라고 게시했음
  • 또한 다른 랜섬웨어 그룹들 중 데이터 유출 페이지를 가지고 있지 않거나, 가지고 있지만 추가 압력을 가하는 그룹들과는 함께하지 않을 것이라 명시
Hello! We announce the development of something really cool, a huge platform for independent leaks, we have no rules and bosses, we will publish private products in a single information platform where we will post leaks of successful no-name teams that do not have their own blogs and names, these are not girls who run with ship like rats and change the policy of their resources. these are really strong guys.
Another loud leak awaits you within a week.
  • 이 후 Hello World 4에서는 BABUK이 정보 유출에 관련해서 거대한 플랫폼을 기획하고 있으며, 데이터 유출 사이트를 운영하지 않는 랜섬웨어 그룹들까지 합세할 예정이라고 명시
  • 곧 아주 큰 유출 내용들이 있을 것이라함

Conclusion

유명 해킹포럼에서 모두 랜섬웨어 관련된 내용들을 금지시켰지만, 피해기업이 올라오는 수에 대해서는 크게 줄어들거나 하지 않음.

해킹 포럼에서 쫓겨나간 운영자들은 자체적으로 운영하는 플랫폼으로 전환할 확률이 높으며, 추가적으로 데이터 유출 사이트를 운영하지 않는 타 랜섬웨어 그룹들까지 합세할 예정

랜섬웨어 운영자들에 대한 제재는 일시적일 뿐 이것이 그들의 몰락을 의미하진 않음

W4 May | KR | Story of the week: Ransomware on the Darkweb was originally published in S2W LAB BLOG on Medium, where people are continuing the conversation by highlighting and responding to this story.

Article Link: W4 May | KR | Story of the week: Ransomware on the Darkweb | by Hyunmin Suh | S2W BLOG | Medium