로얄 랜섬웨어, 블랙수트 암호화기를 사용하여 기업 공격

로얄 랜섬웨어는 펜 테스트 전문가와 컨티 팀 1과 관련된 사람들로 구성된 랜섬웨어 그룹으로, 조직을 목표로 하는 다른 랜섬웨어 갱단의 신규 모집원도 포함되어 있습니다. 2023년에 시작되었으며, 2022년 6월에 종료된 컨티의 후계자로 여겨집니다.

로얄 랜섬웨어는 출범 이후 매우 활발하게 활동하고 있으며, 여러 기업에 대한 공격의 책임이 있습니다. 로얄 랜섬웨어 그룹은 일반 캠페인 암호화기와 많은 유사점을 가진 새로운 암호화기인 블랙수트를 테스트하기 시작한 것으로 보입니다.

지난 4월부터 로얄 랜섬웨어가 새로운 이름으로 리브랜딩되고 있다는 소문이 있었습니다. 이는 랜섬웨어 그룹이 텍사스 주 댈러스 시를 공격한 후 법 집행 기관의 압박을 느끼면서 더욱 심각해졌습니다.

5월, 사이버 보안 연구자들은 자체 브랜드 암호화기 및 Tor 협상을 사용하는 공격을 발견했으며, 이는 로얄 랜섬웨어가 리브랜딩할 캠페인으로 여겨졌습니다. 그러나 결과적으로 리브랜딩은 없었고, 랜섬웨어 그룹은 여전히 조직을 공격하고 있으며 블랙수트를 사용한 공격은 줄어들고 있습니다.

레드센스의 파트너이자 R&D 책임자인 예리세이 보후슬라프스키는 LinkedIn에 로얄이 컨티의 직접적인 후계자로서 60명 이상의 펜 테스터로 구성되어 있으며, 컨티의 구 가드에서 오거나 다양한 엘리트 랜섬웨어 그룹에서 모집되었다고 게시했습니다. 그들은 4-5명의 소규모 그룹으로 운영되며, 리더에게 충성심을 유지합니다.

읽기: 새로운 로얄 트로이안 변종 발견, VMware ESXi 가상 머신을 목표로 함

랜섬웨어 그룹은 블랙수트 및 로얄 로더를 사용하며, 에모텟과 아이스ID가 선행합니다. 그들은 코발트스트라이크의 대안을 우선시하며, 특히 실버를 선호하고 맞춤형 선행 도구를 개발합니다.

보후슬라프스키에 따르면, 랜섬웨어 그룹이 다른 도구와 함께 새로운 암호화기를 단순히 테스트하고 있을 가능성이 있습니다. 여기에는 새로운 로더인 아이스ID와 에모텟을 재활성화하는 작업이 포함됩니다.

그들은 또한 에모레드를 개선하여 재활성화하고 있으며, 아이스ID에도 많은 작업을 하고 있습니다. 새로운 잠금 장치에 대한 실험은 그 측면에서 자연스러운 것이라고 보후슬라프스키는 언급합니다.

이와 더불어 보후슬라프스키는 블랙수트와 같은 더 많은 것들을 곧 볼 수 있을 것이라고 말했습니다. 그러나 지금까지는 새로운 로더와 블랙수트 잠금 장치가 실패한 실험으로 보입니다.

블랙수트가 자가 포함된 활동이기 때문에, 로얄은 특정 유형의 피해자에 초점을 맞춘 하위 그룹을 시작할 계획이거나, 나중에 리브랜딩을 위해 보관되고 있을 가능성이 높습니다. 그러나 블랙수트와 로얄 랜섬웨어 간의 명확한 유사점이 있기 때문에 리브랜딩을 보지 못할 수도 있습니다. 이는 트렌드 마이크로의 보고서에서 강조되었습니다.

유사점에는 코드 유사성, 파일 포함 등이 포함됩니다. 그러나 블랙수트가 어떻게 사용될지는 불확실합니다. 여전히 일부 공격에서 사용되고 있습니다. 현재로서는 데이터 유출 웹사이트에 나열된 피해자는 한 명뿐이지만, 새로운 암호화기가 더 많이 사용되면 빠르게 변경될 수 있습니다.

읽기: 군사 및 정부 기관을 목표로 하는 다크 핑크 해커 그룹