블랙 바스타(Black Basta) 랜섬웨어가 2022년 4월부터 북미, 유럽, 호주 전역의 500개 이상의 민간 산업 및 중요 인프라 기관을 표적으로 공격을 감행하고 있는 것으로 조사됐다.
블랙 바스타 조직의 수법은 피싱과 알려진 취약점 악용 등 일반적인 초기 접근 기법을 활용해 시스템에 침투한다. 일단 시스템에 침투하면 이중 갈취 모델을 사용해 시스템을 암호화하고 데이터를 유출해 추가적인 이득을 취한다. 특히, 랜섬노트에 처음에는 몸값 요구나 지불 지침이 포함되어 있지 않다. 대신 피해자에게 고유 코드가 제공되고 .onion URL을 통해 조직에 연락하도록 안내한다.
이 랜섬웨어 그룹은 2022년 4월에 QakBot을 초기 벡터로 사용해 처음 탐지되었으며, 활발히 해킹활동을 전개하고 있다. 멀웨어바이트가 수집한 통계에 따르면 2024년 4월에 확인된 373개의 랜섬웨어 공격 중 28개에 블랙 바스타가 연루된 것으로 나타났다. 또한 카스퍼스키는 2023년에 이 조직을 12번째로 가장 활동적인 랜섬웨어 그룹으로 선정했으며 2024년 1분기에 활동이 41% 급증한 것으로 조사됐다.
사이버 보안 전문가들은 블랙 바스타 운영자와 2020년에 랜섬웨어 공격으로 전환한 또 다른 사이버 범죄 그룹 FIN7 사이의 연관성을 발견했다. 블랙 바스타와 관련된 공격 체인은 네트워크 스캐닝, 측면 이동, 권한 상승, 데이터 유출을 위한 다양한 도구를 사용하는 것으로 관찰되었다.
이 그룹은 제로로그온(CVE-2020-1472), 노팩(CVE-2021-42278 및 CVE-2021-42287), 프린트나이트메어(CVE-2021-34527) 등 보안 결함을 악용해 상승된 권한을 획득한다. 또한 이전에 락빗 계열사와 관련된 Backstab이라는 도구를 사용하여 EDR솔루션을 무력화했다. 파일 암호화는 RSA-4096 공개 키와 함께 ChaCha20 알고리즘을 사용해 수행되며, 시스템 복구를 방해하기 위해 vssadmin.exe를 통해 볼륨 섀도 복사본을 삭제한다.
랜섬웨어 환경은 계속 진화하고 있으며 APT73, DoNex, DragonForce, Hunt, KageNoHitobito, Megazord, Qiulong, Rincrypt 및 Shinra와 같은 새로운 그룹의 출현으로 인해 계속 진화하고 있다. 이러한 그룹은 랜섬웨어 변종의 다양화를 보여주며, 수사기관의 작전과 피해자의 행동에 대응해 빠르게 적응하고 있다.
한편 2024년 1분기에는 피해 기관의 28%만이 몸값을 지불한 것으로 조사돼 몸값 지불이 감소하고 있는 것으로 분석되었습니다. 이 기간 평균 몸값 지불액은 2023년 4분기보다 32% 감소했지만, 평균값은 작년에 비해 5배 증가한 200만 달러로 집계되었다. 또한 피해자의 44%가 원래 요구보다 적은 금액을 지불하고 31%는 더 많은 금액을 지불하는 등 피해자들이 점점 더 협상을 통해 몸값을 지불하는 것으로 나타났다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★