Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업입니다. 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 어디서나 기업 데이터와 애플리케이션을 보호하기 위한 심층적 방어 기능을 제공합니다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공합니다. 글로벌 기업들은 비즈니스 성장에 필요한 업계 최고의 안정성, 확장성, 전문성을 제공하는 Akamai를 믿고 신뢰합니다.
DarkSide 랜섬웨어는 서버 또는 디바이스에 있는 파일을 암호화한 다음, 공격자가 암호 해독 키에 대한 랜섬을 요구하는 악성 소프트웨어 또는 멀웨어의 한 종류입니다. DarkSide 랜섬웨어 운영자는 이중 갈취 기법을 사용하는 것으로 유명합니다. 이들은 파일을 해독하기 위해 랜섬을 요구할 뿐만 아니라 민감한 데이터를 유출하고 피해 기업이 랜섬 요구에 따르지 않을 경우 도난당한 데이터를 공개하겠다고 위협합니다.
DarkSide는 RaaS(Ransomware as a Service)로도 운영됩니다. RaaS는 랜섬웨어 운영자가 랜섬웨어 수익의 일정 비율을 대가로 제휴사라고 하는 다른 사이버 범죄자에게 랜섬웨어를 임대하는 비즈니스 모델입니다.
An example of a DarkSide ransomware notice that appears on victims’ computer screens
DarkSide 랜섬웨어는 누가 운영하나요?
DarkSide 랜섬웨어는 전 세계적으로 운영되는 사이버 범죄 조직인 DarkSide Hacker Group에서 운영합니다. DarkSide 단체는 의료, 교육 또는 정부 조직과 같은 비영리 기관이 아닌 대규모 영리 기업과 중요 인프라를 주로 표적으로 삼는다고 공개적으로 표명했습니다.
DarkSide 단체의 근거지는 러시아 또는 동유럽으로 추정되지만, 국가가 후원하는 그룹이라기보다는 영리 목적으로 운영되는 것으로 보입니다. DarkSide가 사용하는 코드는 REvil 랜섬웨어에서 사용하는 소프트웨어와 유사하기 때문에 전문가들은 DarkSide가 REvil의 제휴사이거나 여기에서 유래했다고 추측합니다.
DarkSide 랜섬웨어의 역사
DarkSide 랜섬웨어 그룹은 2020년 8월경에 등장해 주요 표적에 정교한 공격을 감행했습니다. 이 단체는 2021년 11월에 RaaS를 제공하기 시작했으며, 2021년 3월에 버전 2.0을 발표했습니다.
2021년 5월 DarkSide 단체는 미국 정부의 압력 때문에 RaaS 제휴 프로그램 및 단체 운영을 중단했다고 주장했습니다. 그러나 보안 전문가들은 이 단체가 단순히 이름을 바꿔 해킹 활동을 재개했을 수 있다고 생각합니다. 2022년 4월, FBI는 BlackCat 랜섬웨어와 관련된 여러 범죄자들이 DarkSide와 연계되었다는 권고 공지를 발표했으며, 이는 BlackCat 랜섬웨어 변종이 DarkSide의 리브랜딩 버전일 수 있음을 시사합니다.
DarkSide 랜섬웨어는 어떻게 확산될까요?
DarkSide 변종은 다른 랜섬웨어와 마찬가지로 피싱이나 스피어 피싱을 사용하는 대신 일반적으로 원격 데스크톱 프로토콜(RDP)을 통해 Windows 및 Linux 운영 체제의 취약점을 악용함으로써 초기 접속 권한을 얻습니다. DarkSide 역시 취약한 비밀번호, 부적절하게 설정된 방화벽, 강력한 인증 제어 부족 등을 악용해 접속 권한을 얻습니다.
DarkSide 랜섬웨어는 어떻게 작동할까요?
DarkSide 공격자는 랜섬웨어로 IT 네트워크에 접속한 후 공격의 영향을 높이기 위해 일련의 단계를 수행합니다.
- 명령 및 제어: DarkSide 랜섬웨어 공격은 일반적으로 Tor로 라우팅된 포트 443을 통해 실행되는 RDP 클라이언트를 통한 명령 및 제어를 포함합니다. 또한 코발트 스트라이크를 보조 메커니즘으로 사용할 수도 있습니다.
- 인증정보 도용: 공격자는 권한을 에스컬레이션해 인증정보를 훔쳐 네트워크의 다른 부분에 접속할 수 있습니다.
- 파일 삭제: DarkSide 랜섬웨어는 컴퓨터에서 파일의 볼륨 섀도 복사본을 삭제하므로 피해 기업은 이러한 복사본으로 되돌려 접속을 쉽게 복원할 수 없습니다.
- 회피: DarkSide 공격자는 레지스트리 키 삭제, 이벤트 로깅 프로세스 중지, 보안 스캔용 툴 방해 등 탐지를 피하기 위해 특정 조치를 취합니다.
- 정찰: 해커는 감염된 네트워크 내에서 측면 이동을 통해 민감한 정보가 있는 가치가 높은 표적을 식별합니다.
- 암호화: DarkSide 해커는 환경을 매핑하고 민감한 데이터를 유출한 후에만 파일을 암호화합니다. 랜섬웨어 코드는 잘 알려진 백도어를 사용해 배포되며, 페이로드에는 실행 파일, 고유한 파일 확장자 그리고 기업이 DarkSide의 웹사이트에서 결제하는 데 사용할 수 있는 고유한 피해자 ID가 포함되어 있습니다. 랜섬웨어는 이러한 고유 식별자를 통해 시그니처 기반 시스템의 탐지를 피할 수 있습니다.
- 랜섬 요구 메시지: DarkSide는 Tor 네트워크를 사용해 피해자와 익명으로 통신하고 비트코인으로 랜섬 지불을 관리합니다. 랜섬 요구액은 20만 달러에서 2천만 달러까지 다양합니다.
유명한 DarkSide 랜섬웨어 사이버 공격
가장 주목할 만한 랜섬웨어 DarkSide 랜섬웨어 인시던트는 2021년 5월 Colonial Pipeline 공격이었습니다. 이 공격으로 대규모 운영 중단이 발생했고 미국 동부 해안의 상당 지역에 연료 부족 사태가 벌어졌습니다. 또 다른 주요 인시던트로는 IT 매니지드 서비스 제공업체 CompuCom, 독일의 화학 유통 회사 Brenntag, 프랑스의 Toshiba Tec Corp에 대한 공격이 있습니다.
DarkSide 랜섬웨어 공격 방어
DarkSide 랜섬웨어 공격을 방지하려면 다음을 포함한 멀티레이어 보안 접근 방식이 필요합니다.
- 정기적인 업데이트 및 패치: 취약점 해결을 위한 운영 체제 및 소프트웨어에 대한 업데이트와 패치
- 강력한 세그멘테이션, 안티바이러스 및 안티멀웨어 소프트웨어, 침입 방지 시스템(IPS) 및 최신 위협 인텔리전스에서 알리는 기타 사이버 보안 툴
- 멀티팩터 인증(MFA): IT 네트워크에 대한 원격 접속용
- 이메일 필터: 실행 파일이 포함된 메시지가 최종 사용자에게 도달하지 못하도록 차단
- 네트워크 필터: 악성으로 알려진 IP 주소와의 통신 차단
- 엔드포인트 보안: 디바이스의 랜섬웨어 감염 탐지 및 제거
- 보안 인식 교육: 사용자가 랜섬웨어의 지표를 인식할 수 있도록 지원
- 빈번한 백업: 감염을 방지하기 위해 오프라인에 저장된 중요한 데이터 백업
- 모범 사례 도입: CIS 및 MITRE와 같은 사이버 보안 정보 기업에서 제공
DarkSide 코드 제거
DarkSide 랜섬웨어를 제거하려면 포괄적인 인시던트 대응 계획이 필요합니다. 다음과 같은 단계가 포함됩니다.
- 멀웨어가 다른 서버와 디바이스로 확산되지 않도록 감염된 시스템 격리
- 사이버 보안 툴을 사용해 랜섬웨어의 구성요소 식별 및 제거
- 백업에서 영향을 받는 암호화된 파일 복원
- FBI와 같은 법 집행 기관에 신고
FAQ
DarkSide 랜섬웨어는 근거지가 러시아로 추정되는 DarkSide 사이버 범죄 그룹이 운영하는 멀웨어의 한 형태입니다. 이 단체는 대기업의 IT 환경에 침투하고, 가치가 높고 민감한 정보를 유출하며, 서버와 컴퓨터의 파일을 암호화합니다. 그런 다음 이 단체는 민감한 파일을 온라인으로 유출하지 않겠다는 약속 및 암호 해독 키에 대한 대가로 랜섬을 요구합니다.
RaaS(Ransomware as a Service)는 랜섬웨어 개발자가 랜섬웨어 매출의 일정 비율을 받는 대가로 다른 해커가 개발자의 코드를 이용해 공격을 감행하는 사이버 범죄 모델입니다. RaaS는 랜섬웨어에 대한 전문 지식이 부족한 범죄자가 수익성이 높은 정교한 공격을 감행할 수 있도록 지원합니다.