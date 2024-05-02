이 문서는 Aaron Gdanski의 기여 덕분에 가능했습니다.
IBM X-Force 인시던트 대응 및 위협 인텔리전스 팀은 2023년 3월에 이 위협 행위자 그룹이 등장한 이후 여러 Akira 랜섬웨어 공격을 조사해 왔습니다. 이 블로그에서는 랜섬웨어 배포에 사용되는 명령, CVE-2023-20269의 적극적인 악용, 랜섬웨어 바이너리 분석 등 이 랜섬웨어의 배후에 있는 위협 행위자를 관찰하면서 Akira에 대한 X-Force의 고유한 관점을 공유합니다.
Akira 랜섬웨어 단체는 현재 사이버 보안 환경에서 악명을 떨치고 있으며, 이는 사이버보안 및 인프라 보안국(CISA)의 최근 사이버보안 권고문과 Akira 랜섬웨어 행위자들이 다양한 산업 및 지역에서 수백 명의 피해자를 발생시킨 사실로 입증됩니다.
Akira의 위협 행위자는 데이터 유출과 전사적 암호화를 모두 포함하는 이중 갈취 체계를 사용합니다. Akira 계열 단체들은 자신들의 다크 웹 사이트(.onion)에 탈취한 파일을 게시하지 않고 암호화된 파일을 복구할 수 있는 복호화 키를 제공하는 대가로 몸값 지불을 요구하고 있습니다. 이 단체의 이름은 1988년 개봉한 동명 애니메이션 영화의 줄거리를 암시하는 것으로 보입니다.
업계 뉴스레터
Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.
Akira 랜섬웨어 공격자들은 다크 웹에 두 개의 사이트를 배포했습니다. 두 사이트 모두 Akira가 각 공격 후 남긴 랜섬 노트에 언급된 .onion 주소입니다. 두 사이트는 1980년대 초 ARPANET을 떠올리게 하는 방식으로 양식화되었습니다.
첫 번째 사이트는 랜섬웨어 단체에 대한 일반 정보를 포함하고, 피해자들의 도난 기록을 광고하고, 잠재적 데이터 유출에 대한 뉴스를 포함하고, 단체에 연락할 수 있는 방법을 명시합니다.
그림 1: Akira 랜섬웨어 .onion 다크 웹 피해자 명단 공개 사이트(출처: X-Force 다크 웹 연구)
두 번째 사이트는 협상에 사용됩니다. 이 사이트에 액세스하려면 사용자는 랜섬 노트에 고유 식별자로 포함된 비밀번호를 입력해야 합니다.
그림 2: Akira 랜섬웨어 .onion 다크 웹 협상 포털(출처: X-Force 다크 웹 연구)
액세스 권한을 얻은 후 협상 포털에 Akira 그룹이 피해자 조직에서 도난당한 데이터 샘플을 준비하고 있음을 알리는 메시지가 피해자에게 표시됩니다. 이 프로세스는 소요되는 시간에 따라 위협 행위자가 수동으로 수행할 수 있습니다. 준비가 완료되면 위협 그룹은 Akira 공격자가 암호화가 발생하기 전에 진본 파일을 훔쳤다는 사실을 피해자에게 입증하기 위해 작업 중에 유출된 폴더 및 파일 목록이 포함된 파일을 첨부합니다.
그림 3: 다크 웹 협상 포털 내 Akira 지원 채팅(출처: Lab539)
2023년 9월 초에 CVE-2023-20269가 공개된 후 Akira 랜섬웨어 위협 행위자들은 이 취약점을 악용하여 광범위하게 활용하고 있습니다. CVE-2023-20269는 Cisco Adaptive Security Appliance(ASA) 및 Firepower Threat Defense(FTD) 의 가상 사설망 (VPN) 기능에 영향을 미치므로 인증되지 않은 원격 공격자가 기존 계정에 대해 무차별 대입 공격을 수행할 수 있습니다.
최초 접근 후 해당 단체는 정찰, 데이터 유출, 네트워크 내 이동 및 랜섬웨어 바이너리를 네트워크 전체에 확산시키기 위한 특수 제작된 스크립트를 위해 다양한 도구와 악성 소프트웨어를 사용합니다.
스크롤하여 전체 표 보기
그림 4: Akira 랜섬웨어 공격자들이 사용하는 도구 모음(출처: X-Force)
사람의 개입 없이 전파 또는 복제하기 위한 웜 동작 모듈을 갖춘 일부 랜섬웨어 제품군과 달리, Akira 랜섬웨어는 네트워크 내에서 감염을 확산시키기 위한 적극적인 절차가 필요합니다. 일반적인 옵션으로는 위협 행위자가 이 수준의 접근 권한에 도달한 경우 도메인 컨트롤러 정책을 활용하거나, 배치 또는 Bash 스크립트로 트리거되는 Akira 바이너리에 내장된 기능을 사용하는 방법이 있습니다.
X-Force는 Akira 랜섬웨어 공격자들이 정찰 활동을 완료한 후 다음 패턴의 배치 스크립트를 사용하는 것을 관찰했습니다.
“start akira_binary.exe -remote -n=3 -p=\\xx.xx.xx.xx\C$”
Akira 랜섬웨어 바이너리는 실행이 발생한 현재 디렉터리에 텍스트 파일을 생성합니다.
IBM X-Force는 Akira 랜섬웨어에 대해 Linux 및 Windows 바이너리를 모두 분석했습니다. Akira의 Linux 버전과 Windows 버전은 유사하게 작동하지만 주요 차이점은 암호화 작업을 지원하는 데 사용되는 라이브러리입니다. Akira는 암호화된 파일의 파일 이름에 .akira를 추가하고 파일이 암호화된 각 디렉터리에 랜섬 노트를 배치합니다. 랜섬 노트에는 피해자가 채팅 시스템에 로그온하여 몸값을 협상하는 데 사용할 수 있는 TOR 링크와 코드가 포함되어 있습니다.
한 예로, Akira 랜섬웨어 파일은 2023년 12월 말(2023-12-28 14:49:57 UTC)에 컴파일되어 C++로 개발되었습니다.
그림 5: Akira 랜섬웨어 컴파일의 날짜 타임스탬프 - 2023년 12월 28일(출처: X-Force)
실행 시 Akira 랜섬웨어는 현재 디렉터리에 로그 파일을 생성합니다. 로그 파일의 파일 이름은 시스템의 현재 현지 시간을 기반으로 하며, 형식은 'Log-<Day>-<Month>-<Year>-<Hour>-<Minute>-<Second>.txt'입니다. 파일을 암호화하는 동안 오류가 발생하면 Akira는 로그 파일에 오류 메시지를 기록합니다. 프로그램의 명령줄 매개변수에 관한 추가 정보도 로그 파일에 기록됩니다. 로그 파일이 생성되면 Akira는 명령줄 인수를 구문 분석하기 시작합니다. Windows 버전의 Akira에서 허용되는 명령줄 인수는 다음과 같습니다.
스크롤하여 전체 표 보기
그림 6: Akira 랜섬웨어가 사용하는 명령줄 인수(출처: X-Force)
명령줄 인수가 구문 분석되면 Akira는 PowerShell 명령 “Get-WmiObject Win32_Shadowcopy | Remove-WmiObject””를 사용하여 모든 섀도 사본을 삭제합니다. 이 명령은 탐지를 방지하기 위해 구성 요소 개체 모델(COM) 개체를 사용하여 실행됩니다. 또한 Akira는 다음과 같은 이름을 가진 프로세스를 종료하려고 시도할 수 있습니다.
스크롤하여 전체 표 보기
그림 7: Akira 랜섬웨어가 공격을 시도하는 프로세스(출처: X-Force)
이러한 프로세스가 종료되면 Akira는 암호화를 시작합니다. 파일은 ChaCha20 또는 KCipher-2를 사용하여 암호화됩니다. 2MB보다 큰 파일은 블록 단위로 암호화되며, 이보다 작은 파일은 명령줄 인수에 제공된 암호화 비율에 따라 암호화됩니다. 기본적으로 2MB보다 작은 모든 파일의 50%가 암호화됩니다. 암호화된 각 파일에는 .akira 확장자가 지정됩니다. Akira는 다음 확장자를 가진 파일을 암호화하지 않습니다.
Linux 버전의 Akira는 대상 파일이 Linux가 아닌 Windows 시스템에 있더라도 대상 파일을 필터링하는 데 사용하는 Windows 버전과 동일한 디렉토리 및 파일 확장자 목록을 사용합니다. Akira는 다음 폴더 내의 파일을 암호화하지 않습니다.
조직은 Akira 랜섬웨어에 대한 방어를 강화하기 위해 몇 가지 조치를 취할 수 있습니다. Akira 위협 행위자를 포함한 랜섬웨어 공격을 방지할 수 있는 보장된 접근 방식은 없지만, 다음과 같은 조치를 시행하면 Akira 공격자가 선호하는 기술을 사용하기가 더 어려워질 수 있습니다.
위와 더불어 X-Force는 4월 18일 보고서에서 CISA가 제공하는 사전 예방 및 개선 조치를 활용할 것을 권장합니다.
사이버 보안과 관련된 모든 것, 특히 사고 대응, 위협 인텔리전스, 공격적 보안 서비스에 IBM® X-Force가 어떻게 도움을 줄 수 있는지 알아보려면 여기에서 미팅을 예약하세요.
사이버 보안 문제나 인시던트가 발생한 경우 X-Force로 연락해서 도움을 받으세요. 미국 핫라인 1-888-241-9812 | 글로벌 핫라인 (+001) 312-212-8034.
스크롤하여 전체 표 보기