Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Evil Corp 조직, 제재 회피 목적으로 Hades로 변경하다.
작성일 2021-03-26 조회 49

Evil Corp는 재무부 해외자산관리국(OFAC)의 제재를 회피하기 위해 Hades 랜섬웨어와 연계하기 시작했다. Evil Corp는 2007년부터 활동하기 시작했으며 Dridex 악성 코드를 배포한 것으로 알려져 있다.

 

이들은 이후 랜섬웨어 사업으로 전환해 처음에는 Locky 랜섬웨어를, 2019년에는 BitPaymer를 사용하기도 했다. 미국 재무부는 Dridex를 이용해 1억 달러가 넘는 금전적 손해를 끼친 Evil Corp를 제재했다. 또한 랜섬웨어 피해자는 공격자에게 몸값을 지불하는 행위도 제재 위반으로 처벌받을 수 있다고 알렸다.

 

Evil Corp는 이런 제재를 회피하기 위해 2020년 6월부터 새로운 WasteLocker 랜섬웨어를 채용, 기업을 타겟으로한 공격을 진행했다. 웨어러블 기기 제조업체인 Garmin은 WasteLocker 랜섬웨어의 주요 타겟이 되었고 공격 이후 연결된 서비스와 콜센터가 폐쇄되기도 했다.

 

이 후 이들은 지속적인 제재를 우회하고자 새로운 종류의 악성 코드를 제작하는데 CrowdStrike에서 WastedLocker 와 BitPaymer의 소스를 공유하는 Hades 랜섬웨어를 새롭게 발견했다. 해당 랜섬웨어는 64Bit로 컴파일된 파일로 코드 난독화와 몇가지 기능이 변경 및 업데이트 된 것으로 보고있다.

 


[그림1. Hades 랜섬웨어 페이지]

 

 

 

Bleeping Computer는 2020년 12월 대형 트럭 운송업체인 Forward Air's System 시스템을 암호화하는데 사용됬다. 현재 Hades 랜섬웨어로 인해 피해를 받은 곳은 많지 않지만 새로운 변종을 사용하기 시작한 직후부터 여러 기업들은 자신들의 시스템이 Hades 랜섬웨어로 부터 영향을 받았는지 조사하고 있다고 보고했다.

 

CrowdStrike는 "제재와 기소는 의심할 여지 없이 공격 그룹에 중대한 영향을 미쳤고 이들의 범죄 행위를 좀 더 어렵게 만들 수 있는 획기적인 방법이다." 라고 언급했다.

 

출처:

 

https://www.bleepingcomputer.com/news/security/evil-corp-switches-to-hades-ransomware-to-evade-sanctions/

첨부파일 첨부파일이 없습니다.
태그 Evil Corp  Hades