□ 개요
Royal 랜섬웨어 그룹은 BlackSuit라는 새로운 공격 도구의 테스트 단계를 시작한 것으로 알려져 있다.
이 도구는 Royal 랜섬웨어 그룹이 일반적으로 사용하는 공격 도구와 매우 유사하며, 공유 명령줄 인수, 코드 구조의 유사성, 특정 파일의 제외 및 간헐적 암호화 기술 등 유사한 특징을 가지고 있다.
□ Royal 랜섬웨어 그룹이란?
Royal 랜섬웨어 그룹은 2022년 9월에 처음 등장하여 주로 의료 서비스를 공격했던 조직으로 알려져 있다.
이 그룹은 Conti 랜섬웨어 그룹의 "Conti Team 1"이라는 이전 그룹의 인력을 영입하여 형성되었다. Conti 랜섬웨어 그룹은 2022년 6월에 종료되었으며, Royal 랜섬웨어 그룹은 이전 그룹과 유사한 방식으로 기업을 대상으로 공격을 수행하는 것으로 알려져 있다.
[그림 1] Conti 계열 랜섬웨어 그룹 인포 그래픽 (Linkedin - Yelisey Bohuslavskiy)
□ BlackSuit Test
4월 말에는 Royal 랜섬웨어 그룹이 새로운 이름으로 리브랜딩할 준비를 하고 있다는 소문이 돌기 시작했다. 그러나 이에 대한 구체적인 정보나 확인된 사실은 없다.
그리고 5월에는 자체 공격 도구인 BlackSuit와 Tor 협상 사이트를 사용하는 새로운 랜섬웨어 그룹인 BlackSuit 랜섬웨어 그룹이 발견되었다.
이 그룹은 Royal 랜섬웨어 그룹이 리브랜딩하여 사용하는 새로운 그룹으로 추정되었다. 그러나 리브랜딩은 아직 발생하지 않았으며, Royal 랜섬웨어 그룹은 여전히 BlackSuit 공격 도구를 제한된 기업을 대상으로 활용하고 있는 것으로 알려져 있다.
위 내용은 추정에 기반한 것이므로, 현재의 상황이나 활동에 대해서는 최신 정보를 확인하기 어렵다.
[그림 2] BlackSuit 랜섬웨어 데이터 유출 사이트
BleepingComputer에 따르면, Royal 랜섬웨어 그룹은 새로운 암호기를 포함하여 그룹에서 사용하는 다른 도구와 함께 새로운 로더인 IcedID와 Emotet의 활성화를 테스트하고 있는 가능성이 있다고 합니다.
그러나 BlackSuit의 구체적인 의도는 아직은 명확히 알려지지 않았다. 현재로서는 제한된 수의 사이버 공격에 적극적으로 사용되고 있는 것으로 알려져 있다.
□ 참고 자료
[2] https://heimdalsecurity.com/blog/royal-ransomware-gang-bolsters-arsenal-with-blacksuit-encryptor/
[3] https://heimdalsecurity.com/blog/how-royal-ransomware-could-wreak-havoc-on-the-u-s-digital-economy/