사이버 보안 회사, 랜섬웨어 갱의 유출 정보 저지

사이버 보안 회사인 Resecurity는 대담한 작전을 통해 BlackLock 랜섬웨어를 침투하고, 그 시스템에 잠입하여 중요한 정보를 수집하였습니다. 그들은 이 정보를 국가 기관과 공유하여 피해자들을 돕는 데 도움을 주었습니다.

ITPro는 이전에 보도했습니다 BlackLock 랜섬웨어는 2024년에 맞춤형 악성 소프트웨어와 이중 강요 방식을 이용함에 따라 1,425% 급증했다고 합니다. 전문가들의 예측에 따르면, BlackLock 랜섬웨어는 2025년 동안 랜섬웨어 공격을 통제할 것으로 보입니다.

Resecurity는 2024년 연휴 기간 동안 BlackLock의 TOR 기반 데이터 유출 사이트(DLS)의 잘못된 설정을 발견했습니다. 이 보안 결함은 BlackLock에게 그들의 인프라를 호스팅하는 클리어넷 서버의 정확한 IP 주소를 알려주었습니다.

로컬 파일 인클루드(LFI) 취약점을 통해 Resecurity는 설정 파일 및 자격증명을 포함한 서버 측 데이터에 액세스를 얻었습니다. 이 회사는 Resecurity가 위협 요소들의 계정에 대해 해시 깨기 공격을 수행하는 데 많은 시간을 보냈다고 설명했습니다.

해시 크래킹 공격은 해시된 비밀번호나 데이터를 역설계하거나 디코드하는 과정을 설명합니다. 해싱 과정은 평문 비밀번호를 암호화 알고리즘을 통해 특정 길이의 문자열로 변환합니다.

해시의 목적은 그것들을 역으로 불가능하게 만들어 공격자가 해시된 형태의 원래 비밀번호를 찾아내는 것을 방지하는 것입니다. Resecurity 팀은 해시 크래킹 방법을 사용하여 BlackLock의 계정에 접근하게 되었고, 이를 통해 그들의 인프라를 완전히 통제하게 되었습니다.

Resecurity가 주도한 데이터 수집 노력을 통해 BlackLock 운영자의 명령어 히스토리 정보가 검색되었습니다. 이 보안 사건에서는 복사된 자격 증명이 중요한 운영 보안 약점을 드러냈습니다.

BlackLock 운영자 “$$$”는 모든 계정에서 같은 비밀번호를 재사용함으로써 그룹의 작업에 대한 더 많은 정보를 드러냈습니다. Resecurity의 연구를 통해 BlackLock이 Mega 파일 공유 서비스에 의존하여 데이터 도난 활동을 수행함을 발견했습니다.

해당 범죄 집단은 Mega 플랫폼에 접근하기 위해 8개의 이메일 계정을 운영하였으며, 이를 통해 피해자의 기계에서 도난당한 데이터를 그들의 DLS로 이동시키기 위해 클라이언트 애플리케이션과 rclone 유틸리티를 모두 사용하였습니다.

이 범죄 조직은 때때로 Mega 클라이언트 소프트웨어를 사용하여 피해자 기계에서 데이터를 도난당했는데, 이는 감지가 덜 되는 방법을 제공하기 때문입니다.

대상은 주요 법률 서비스 제공업체인 프랑스 회사였습니다. Resecurity는 그들의 네트워크 접근을 통해 BlackLock의 예정된 데이터 유출 작업에 대해 알게 되었고, 이를 통해 데이터가 공개되기 두 일 전에 CERT-FR과 ANSSI에게 알릴 수 있었습니다. 이는 The Register에서 보도하였습니다.

Resecurity는 캐나다 사이버 보안 센터와의 정보 공유를 통해, 캐나다 피해자에게 그들의 데이터 유출에 대한 경고를 13일 전에 전달할 수 있었다고 The Register에서 언급하였습니다.

Resecurity의 조기 경고를 통해 공격 피해자들은 적절한 방어 조치를 개발할 충분한 시간을 얻었습니다. 이 회사는 전 세계적인 범죄 사이버 작전을 방해하는 데에 활발한 조치가 필요하다고 강조했습니다.

사용 가능한 정보에 따르면 BlackLock은 러시아와 중국 포럼에서 운영되며, BRICS와 CIS 국가들을 대상으로 하지 않는 규칙을 따르고, 이러한 국가들의 IP 주소를 Mega 계정에 사용합니다.

Resecurity의 행동을 통해 우리는 공격적인 사이버 보안 작전이 어떻게 랜섬웨어 공격과 싸워 가능한 피해자를 보호하는 데 성공하는지 보여줍니다.