Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향LV 랜섬웨어 운영자는 REvil 바이너리를 용도 변경했다
작성일 2021-06-24 조회 624

 

 

 

LV 랜섬웨어 운영자들로 알려진 위협 행위자가 사이버 범죄 분야에 진입하려고 시도하고 있다. REvil 바이너리를 변경하여 자체 변종을 만들고 RaaS(Ransomware-as-a-Service)를 시작했다.

 

Sodinokibi/REvil은 육류 가공 대기업 JBS와 미국의 핵무기 하청업체인 Sol Oriens를 포함한 주요 목표물에 대해 많은 공격을 한 위협 환경의 주요 랜섬웨어 중 하나이다.

 

REvil은 러시아에서 활동하는 그룹으로 지난 G7 회의에서 랜섬웨어 그룹들의 활동이 논의되기도 했다.

 

G7 회원국들은 러시아와 다른 국가들에게 자국 내에서 운영되는 랜섬웨어 그룹의 운영을 해체할 것을 요구했다.

 

이번 주에 REvil의 그룹을 GOLD SOUTHFIELD로 추적하는 Secureworks의 전문가들은 GOLD NORTHFIELD로 추적하는 또 다른 랜섬웨어 그룹이 자체 RaaS를 출시하기 위해 REvil 바이너리를 변경했다는 사실을 발견했다.

 

"Secureworks® Counter Threat Unit™(CTU) 연구원들은 LV 랜섬웨어의 코드 구조가 REvil과 동일한지 분석했다. 이러한 중복은 REvil이 운영하는 GOLD SOUTHFIELD 사이버 범죄 위협 그룹이 소스 코드를 판매했거나, 소스 코드를 도난당했거나, 파트너십의 일환으로 다른 위협 그룹과 코드를 공유했음을 나타낼 수 있다. CTU™ 분석 결과 LV를 운영하는 GOLD NORTHFIELD 위협 그룹이 LV 랜섬웨어의 REvil 바이너리를 변경하기 위해 REvil v2.03 베타 버전의 구성을 대체한 것으로 확인되었다."라고 Secureworks는 분석했다.

 

CTU 전문가들은 아직 랜섬웨어와 관련된 지하 포럼에서서 어떠한 정보도 발견하지 못했지만, LV 구성 전반에 걸쳐 파트너와 캠페인 ID가 다양하다는 점과 새로운 그룹이 RaaS를 출시할 것이라는 점을 발견했다.

 

전문가들은 LV 랜섬웨어와 REvil의 소스 코드를 비교한 결과 코드 구조와 기능이 동일한 것으로 나타났다. LV 운영자는 hex 에디터를 사용하여 REvil의 바이너리를 수정하고 구성의 무결성을 보장하기 위해 REvil에서 구현한 변조 방지 제어를 우회하여 랜섬웨어 구성을 교체했을 가능성이 높다.

 

"GOLD NORTHFIELD는 또한 업데이트된 암호화 구성의 CRC32 해시를 생성한 다음 바이너리에 저장된 하드 코딩된 사전에 계산된 CRC32 해시를 업데이트된 구성의 CRC32 해시로 교체해야 했다. REvil 코드는 런타임에 구성의 CRC32 해시 값을 계산하고 계산된 하드 코딩된 해시가 일치하지 않으면 종료되기 때문에 이러한 변경 사항이 필요다."라는 분석이 계속된다.

 

그런 다음 GOLD NORTHFIELD는 구성을 암호화하는 데 사용되는 RC4 키, 암호화된 구성의 CRC32 해시, 암호화된 구성의 길이 및 암호화된 구성 자체를 정의된 구성 섹션(.7tdlvx)을 통해 REvil 이진 파일에 추가할 수 있다.

 

 

lv 랜섬웨어 REvil

[그림1. LV 랜섬웨어 헥사값]

 

 

피해자들은 몸값 결제 사이트에 접속하면 랜섬 노트의 키를 기본 형식으로 제공해야 한다.

 

CTU 전문가들은 LV 그룹이 사용한 3개의 몸값 지불 Tor 도메인을 발견하고 LV 랜섬 노트에 보고했다. 도메인은 랜딩 페이지를 성공적으로 로딩했지만, 연구원들이 받은 랜섬 노트에서 키를 제출하려고 시도한 결과, 연구원들은 HTTP 오류를 받았다.

 

Secureworks 전문가들은 독립적으로 운영되는 것으로 보이는 두 개의 LV 랜섬웨어 유출 사이트를 확인했지만 피해자는 두 사이트 모두 한명의 피해자만 나왔다. 이 글을 작성하는 시점에는 민감한 데이터가 게시되지 않았다.

 

"GOLD NORTHFIELD가 제시하는 위협을 평가하기에는 너무 이르다. REVIL 바이너리의 용도를 변경할 수 있는 능력은 위협 행위자가 기술적 능력을 갖추고 있음을 시사한다. 또한 이러한 용도 변경에 필요한 복잡성과 LV 샘플 간의 구성 변화로 인해 GOLD NORTHFIELD가 프로세스를 자동화했을 수 있다."라고 분석을 마친다.

 

 

 

출처

https://securityaffairs.co/wordpress/119306/malware/lv-ransomware-repurposed-revil-binary.html

https://id-ransomware.blogspot.com/2020/10/lv-ransomware.html

첨부파일 첨부파일이 없습니다.
태그 LV 랜섬웨어  REvil  RaaS