보안정보

GuidePoint SecurityAstroLockerMount Locker

Mount Locker 랜섬웨어의 공격적인 전략 변경

침해사고분석팀 2021.04.23

 

 

Mount Locker 랜섬웨어는 새로운 기능으로 위험 지수를 높이면서 "AstroLocker"로 브랜드 변경을 알렸다.

 

연구원들에 따르면 Mount Locker 랜섬웨어는 보다 정교한 스크립팅 및 anti-prevention 기능으로 최근 캠페인에서 상황을 뒤흔들었다. 그리고 그  전술의 변화는 맬웨어를 "AstroLocker"로 변경한 것과 연결되는 것으로 보인다. Mount Locker는 빠르게 움직이는 위협으로, 이 그룹은 2020년 11월에 타겟팅 기능을 확장하는 주요 업데이트를 발표했다. GuidePoint Security가 목요일에 발표한 분석에 따르면 공격은 계속해서 확대되고 있으며 현재 또 다른 주요 업데이트는 "Mount Locker 전술의 공격적인 변화"이다.

 

많은 랜섬 집단과 마찬가지로, 몸값이 지급되지 않으면 파일을 잠그고 데이터를 훔친 후, 몸값을 지불하지 않으면 데이터를 유출할 것이라고 위협한다. Mount Locker의 경우 수백만 달러의 몸값을 요구하고 많은 양의 데이터(최대 400GB)를 훔치는 것으로 유명하다.

 

“기술적 접근 방식 측면에서 Mount Locker는 기존에 사용되는, 합법적인 도구를 사용하여 몰래 들어가 파일을 훔치고 암호화한다.” 라고 GuidePoint는 언급했다. Mount Locker는 Active Directory 및 사용자 관찰을 위해 AdFind와 Bloodhound을 이용하는 것을 예로 들 수 있다. 또한, 파일 유출을 위해 사용하는 FTP, 몰래 침입하기 위해 사용하는 모의해킹 도구 CobaltStrike도 GuidePoint의 언급한 부분의 예라고 볼 수 있다.

 

 

 

[ 그림1. Mount Locker의 ransom note (GuidePoint Security) ]

 

 

 

선임 위협 인텔리전스 분석가인 Drew Schmitt는 "환경이 매핑된 후 백업 시스템이 식별 및 무력화되고 데이터가 수집된다. 그 후, 연결된 C2 (Command-and-Control Channel)를 통해 전달된 랜섬웨어에 의해 시스템이 암호화된다. 이 페이로드에는 실행 파일, 확장 프로그램 및 몸값 지불을 위한 피해자 ID가 포함된다." 라고 말했다.

 

최근의 캠페인은 새로운 배치 스크립트의 등장으로 상황이 더 거세졌다고 연구원들은 지적했다. 이 배치 스크립트는 탐지 및 방지 도구를 비활성화하도록 설계되었다.

 

Schmitt는 “이러한 상황은 Mount Locker가 기능을 향상시키고 더 위험한 위협이되고 있음을 나타낸다. 이 스크립트는 방대한 양의 도구를 비활성화하기 위한 단순한 단계가 아니라 피해자의 환경을 대상으로 맞춤화, 타겟팅되었음을 보여준다." 라고 말했다.

 

“그룹에 대한 전략의 또 다른 변화는 고유한 도메인을 가진 여러 CobaltStrike 서버를 사용하는 것이다. 탐지 회피에 도움이 되는 추가 단계이지만 효과적으로 실행하기 위해 훨씬 더 많은 관리가 필요하기 때문에 자주 보이지 않는다” 라고 Schmitt는 말했다. 

 

이러한 변화는 Mount Locker 공격, 특히 생물 기술 산업의 기업을 겨냥한 공격의 증가를 동반했습니다. 슈미트는이 부문에서 사고가 급증했으며 이는 의료 인접 산업을 공격적으로 표적으로 삼는 더 큰 캠페인이 진행 중일 수 있음을 나타냅니다.

 

Schmitt는 “특히 생명 공학 기업은 매우 민감한 IP를 보유하고 있다는 업계 위치 때문에 랜섬웨어의 주요 표적이다. 또한 다른 연구 기관과의 연결은 업계에서 피해자의 평판을 훼손하고 비즈니스 거래를 위험에 빠뜨릴 가능성이 높아진다." 라고 설명했다.

 

“의료, 생명 공학 회사의 경우 운영이 너무 오래 중단되거나 중요한 IP가 손실 될 경우 가장 큰 손실을 입을 수 있다는 점을 고려했을 때 주요 타겟이 된다” 라고 Schmitt는 지적했습니다. 또한 "공격자들은 이런 분야의 회사들이 요청한 몸값을 빨리 지불 할 가능성이 높다고 생각한다."라고 덧붙였다.

 

Schmitt는 “회사나 기관은 CobaltStrike stager와 비콘과 같은 환경 내에서 Mount Locker 또는 AstroLocker의 징후를 찾을 수 있다. 또한, FTP를 통해 파일의 스테이징 혹은 유출 관련 모니터링도 해야 한다. 이런 징후는 항상 경보의 원인이 될 수 있지만 업데이트 후에 더욱 공격적인 특징을 보이는 Mount Locker와 공격의 급격한 증가로 인해 이러한 침해 지표가 특히 위험하다.” 라고 말했다.

 

 

 

 

 

출처

https://threatpost.com/mount-locker-ransomware-changes-tactics/165559/ 

https://www.guidepointsecurity.com/mount-locker-ransomware-steps-up-counter-ir-capabilities/

목록