|
미국과 호주, Avaddon 랜섬웨어 공격의 확대 예상 침해사고분석팀 2021.05.11 |
|
|
연방 수사국(FBI)과 호주 사이버 보안 센터(ACSC)가 미국 및 전세계의 광범위한 조직을 대상으로 진행중인 Avaddon 랜섬웨어 캠페인에 대해 경고하고 있다.
FBI는 지난주 TLP:GREEN 플래시 경고에서 Avaddon 랜섬웨어 계열사가 전 세계 제조, 의료 및 기타 민간 부문 조직의 네트워크를 침해하려고 시도하고 있다고 밝혔다. ACSC는 오늘 랜섬웨어 그룹의 계열사가 정부, 금융, 법조계 , 에너지 산업, 정보 기술 및 건강 산업을 포함하되 이에 국한되지 않는 다양한 분야의 단체를 표적으로 삼고 있다고 말하면서 표적 정보를 확장했다.
FBI는 현재 진행중인 공격만 언급했지만 ACSC는 미국, 영국, 독일, 중국, 브라질, 인도, UAE, 프랑스, 스페인 등 공격 대상 국가 목록을 추가로 제공했다. ACSC는 "호주 사이버 보안 센터(ACSC)는 다양한 부문의 호주 조직을 적극적으로 표적으로 삼는 Avaddon 랜섬웨어 캠페인에 주의를 기울이고 있습니다."라고 덧붙였다.
[그림1. ACSC가 제공한 Avaddon 공격 대상]
ACSC는 또한 Avaddon 위협 행위자가 DDoS(서비스 거부) 공격으로 위협하여 피해자가 훔쳐진 데이터의 유출 및 시스템 암호화 외에도 추가로 몸값을 지불하도록 설득한다고 언급했다.
그러나 FBI가 말했듯이 Avaddon 랜섬웨어 공격 이후 DDoS 공격에 대한 증거는 발견되지 않았다.
Avaddon 랜섬웨어 그룹은 2021년 1월에 처음으로 피해자가 몸값을 지불하거나 협상을 시작하도록 압박의 수단으로서 피해자의 사이트나 네트워크를 다운시키기 위해 DDoS 공격을 시작할 것이라고 발표했다.
이 새로운 추세는 랜섬웨어 그룹이 피해자에 대한 DDoS 공격을 추가 레버리지 포인트로 사용하기 시작한 2020년 10월에 처음 보고되었다.
당시 이 새로운 전술을 사용하고 있던 두 랜섬웨어는 SunCrypt와 RagnarLocker였다.
[그림2. Avaddon DDoS 공격]
Avaddon 랜섬웨어 샘플은 2019년 2월에 처음 발견되었으며 전세계 사용자를 대상으로 하는 대규모 스팸 캠페인을 시작한 후 2020년 6월에 계열사를 모집하기 시작했다.
이 RaaS 작업에 참여하는 계열사는 네트워크를 손상시켜 페이로드를 배포하거나 스팸 또는 익스플로잇 키트를 통해 랜섬웨어를 배포해야 하며 동시에 운영자는 악성 코드를 개발하고 TOR 결제 사이트를 운영해야한다.
Avaddon RaaS 운영은 또한 계열사에게 일련의 규칙을 따르도록 요청하는데, 그중 하나는 독립 국가 연합(CIS)에 속한 국가 및 조직은 랜섬웨어 공격 대상에서 제외하는 것이다.
Avaddon은 각 계열사에게 몸값의 65%를 지불하고 운영자는 35%의 지분을 받는다.
그러나 다른 RaaS 프로그램과 마찬가지로 대규모 계열사는 일반적으로 공격 규모에 따라 더 높은 수익 공유를 협상 할 수 있게된다.
Avaddon 계열사가 요구하는 평균 몸값은 해독 도구(Avaddon General Decryptor)와 교환해 약 0.73 비트 코인(약 $ 41,000)이다.
Avaddon 랜섬웨어 계열사는 double-extortion을 위해 시스템을 암호화하기 전에 피해자의 네트워크에서 데이터를 훔친 것으로도 알려져있다.
이 전략은 거의 모든 랜섬웨어 작업에서 일반적으로 사용되고 있으며, 피해자는 일반적으로 랜섬웨어 공격에 따른 데이터 유출 가능성을 고객이나 직원에게 알려야한다.
출처 https://www.bleepingcomputer.com/news/security/us-and-australia-warn-of-escalating-avaddon-ransomware-attacks/ |
