정보보안 스터디 - 24주차 3일 - 다크파워 랜섬웨어 갱단

원문 - https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month

 

 

☞ 다크파워 랜섬웨어 갱단

다크파워 랜섬웨어 그룹이 2월 말부터 감시받기 시작해서 현재까지

한달 이내에 10곳 이상 랜섬웨어 exploit을 하는 

활발한 활동을 보여주고 있습니다.

 

 

 

 

☞ 특징

가장 큰 특징은

1) 나라를 가리지 않고,

농업, 교육, 헬스케어, IT, 제조업 등 분야도 다양하다는 것입니다. 

 

 

2) 다른 그룹과는 조금다르게 Rim이라는 프로그래밍 언어를 쓴다는 것이고

 

언어를 이렇게 다양하게 사용하는 이유는 같은 수법, 프로그램을 사용하더라도 

언어가 다르다면 탐지를 피할 수 있는 장점이 있기 때문입니다.

 

 

효율적이고, 풍부하게 표현하고, elegant하다고 합니다.

 

원래는 사실 애매한 언어였지만 이러한 멀웨어 탐지 우회를 위해서 널리 알려지고 있습니다.

쉽고 플랫폼별로 호환성이 꽤 있는 편입니다.

 

 

또한 그들은 이메일로의 소셜엔지니어링을 이용하며, 돈을 지불하는 것과 상관없이 여러번 공격 및 탈취 하는 수법을 사용하고 있습니다.

 

피해자가 탈취된 것도 모르게 민감 정보를 미리 수집하여 옮기고 

그 다음 랜섬웨어를 사용해서 협상하지 않을 시 공개하거나 다크웹에 팔겠다고 하는 편입니다.

그러니까 돈을 낸다고 하더라도 복호화해줄 지는 확실하지 않다는 겁니다.

 

 

 

☞ 대응방안

피해자의 대응방안에서 가장 중요한 점은

만약 피해를 입었다는 가정 하에 

어떻게 백업이 미리 되어있고, 회복 시스템을 구성하지? 입니다.

일단 백업이 최신으로 자동화 되어 마련되어있으면 중요한 자료는 건질 수 있기 때문입니다.