1. 사고 개요
지난 6 월 20일, 인도네시아의 국립 데이터센터(Pusat Data Nasional)가 ‘brain cipher’ 랜섬웨어 공격을 받아 210개 공공기관의 7천여개 서비스가 중단되는 사고가 발생했다. 공격자는 암호화된 데이터의 복구 대가로 800만 달러를 요구하였으나, 인도네시아 정부는 협상하지 않을 것을 주장하며 자체적인 복구를 진행중에 있다.
(1) 공격 벡터
• 최초 침투 경로 등 초기 공격벡터에 대해서는 공개되지 않았다.
• 공격에 사용된 랜섬웨어는 LockBit 3.0 랜섬웨어의 변종인 Brain Cipher 랜섬웨어로 확인되었다.
(2) 피해 현황
• 다수 공공기관의 주요 데이터가 암호화되면서 서비스 장애가 발생하여 사회적 혼란을 초래하였다.
• 가장 큰 영향을 받은 곳은 공항으로, 출입국 시스템 장애로 인한 출입국 시간 지연, 여권 발급 시스템 장애로 인한 여권 발급 지연 등의 피해가 발생하였다.
(3) 대응 상황
• 랜섬웨어 그룹과의 협상 없이 자체 복구를 진행중이나 다소 시일이 소요될 것으로 예상된다.
• 24일부터 공항 운영은 상당 부분 정상화되었으며, 몇 가지 주요 서비스는 점차적으로 복원되었다.
(4) 기타 확인 내역
• 7월 2일, Brain Cipher 랜섬웨어 그룹은 자신들이 운영하는 Tor 사이트를 통해 인도네시아 랜섬웨어 사고와 관련한 자신들의 입장을 밝혔다. 인도네시아 사고 관련 복호화 키는 무료로 제공할 예정이라고 언급했다.
'이번 인도네시아 랜섬웨어 공격은 정치적 목적으로 수행한 것이 아니다. 우리는 이번 공격을 통해 인도네시아 정부가 사이버 보안을 개선하고 특히 유능한 사이버 보안 인력을 채용해야 한다는 점을 깨닫게 되기를 바란다. 이번 수요일에 복호화 키를 인도네시아 정부에 무료로 공개할 예정이다.'
[그림 1] Brain Cipher의 Tor 사이트에 업로드 된 게시글
2. 타임 라인
• [2024-06-17] Windows Defender 보안 기능을 비활성화 시도
• [2024-06-20] 인도네시아 국가 데이터 센터에 대한 랜섬웨어 공격
• [2024-06-20 ~ ] 인도네시아 정부는 해커와의 협상없이 자체적인 복구를 진행중
• [2024-07-02] 해커는 복호화 키를 무료로 제공할 예정이라고 언급
3. 랜섬웨어 정보
(1) Brain Cipher Ransomware
Brain Cipher Ransomware는 올해 6월 초 처음 발견된 랜섬웨어이다. 지난 2022년 유출된 Lockbit 3.0 Builder 를 기반으로 만들어진 것으로 알려져 있다. 처음에는 데이터 유출 사이트 없이 활동하였지만, 최근 발견된 랜섬노트에서 데이터유출 사이트 링크가 포함된 것으로 확인이 되었다. 2024년 6월 중순 인도네시아 국가데이터센터를 침해하면서 대대적으로 알려지게 되었다.
(2) Brain Cipher’s TTPs
|
Tactics |
Techniques |
설명 |
|
Initial Access |
|
아직 불명확한 부분이 많지만, 초기 접근 브로커(IAB), 피싱, 공개 애플리케이션의 취약점 악용, 원격 데스크톱 프로토콜(RDP) 등 알려진 플레이북을 활용할 가능성이 높다. |
|
Privilege Escalation |
T1548.002 |
UAC(User Account Control) 우회를 통해 표적 시스템에서 상승된 권한을 얻는다. |
|
Defense Evasion |
T1548.002 |
권한 상승 기법과 마찬가지로 UAC 우회를 통해 보안 시스템의 탐지를 회피한다. |
|
Credential Access |
T1539 T1555.003 T1552.001 |
웹 세션 쿠키(T1539), 웹 브라우저의 자격 증명(T1555.003), 파일에 저장된 자격 증명(T1552.001)을 탈취하여 추가적인 네트워크 침투에 활용한다. |
|
Discovery |
T1082 T1012 T1518 |
시스템 정보 검색(T1082), 레지스트리 쿼리(T1012), 설치된 소프트웨어 검색(T1518)을 통해 감염된 시스템에 대한 정보를 파악한다. |
|
Lateral Movement |
|
피해를 극대화하기 위해 네트워크 내에서 측면 이동을 시도한다. |
|
Collection |
|
이중협박을 위해 감염 시스템에서 중요한 정보를 수집하여 탈취한다. |
|
Execution |
T1059.003 T1204.002 |
Windows 명령 셸(T1059.003)과 악성 파일의 사용자 실행(T1204.002)을 통해 페이로드를 실행한다. |
|
Exfiltration |
|
민감한 데이터를 유출하고 몸값을 지불하지 않으면 공개하겠다고 협박한다. |
|
Impact |
T1486 |
목표 시스템의 데이터를 암호화(T1486)하여 사용자가 데이터에 접근하지 못하게 만든다. 암호화된 데이터는 복호화 키를 통해서만 복구할 수 있으며, 이를 위해 금전적 대가를 요구한다. |
(3) 암호화 방식
암호화 방식은 Lockbit 3.0과 동일한 방식을 따른다. 파일 암호화 시 Salsa20 알고리즘이 사용되며, 파일 암호화에 사용된 키는 RSA-1024 알고리즘을 통해 암호화된다. 암호화가 완료된 파일은 파일 이름과 확장자가 변경된다.
• {임의의 영숫자 7자리}.{임의의 영숫자 9자리}
[그림 2] 감염된 파일 예시 (출처 : BleepingComputer)
(4) 랜섬노트
복호화를 위한 협상 안내를 위해 감염 시스템에 생성하는 랜섬노트 유형은 다음과 같다. 랜섬노트의 이름은 두가지 형태가 발견되었다.
• [확장자].REDME.txt
• How To Restore Your Files.txt
[그림 3] 랜섬노트 예시1 (출처 : BleepingComputer)
[그림 4] 랜섬노트 예시2 (출처 : BleepingComputer)
(5) 데이터 유출 사이트
협상에 응하지 않을 경우, 탈취한 데이터를 유출할 목적으로 운영되는 Tor 사이트이다. 현재까지(24.07.03)는 게시된 유출 데이터는 없다.
• http://vkvsgl7lhipjirmz6j5ubp3w3bwvxgcdbpi3fsbqngfynetqtw4w5hyd[.]onion
[그림 5] Tor 데이터유출 사이트
(6) 커뮤니케이션 채널
Brain Cipher는 협상을 위한 여러 커뮤니케이션 채널을 운영하고 있다.
(6-1) Tor 사이트
협상을 위한 커뮤니케이션 용도의 Tor 사이트이다. 랜섬노트에 기재된 Encryption ID 값을 입력하면 채팅이 가능해진다.
• http://mybmtbgd7aprdnw2ekxht5qap5daam2wch25coqerrq2zdioanob34ad[.]onion
[그림 6] Tor 협상 사이트
(6-2) 이메일
• brain.support@cyberfear.com
(6-3) Tox 메신저
• Tox ID
BEBA1CBBD4C1D6DFCB788024174FDE6AE6137C7835FBF997CB178DB5697AE574FB6055381095
(7) Brain Cipher Ransomware IOCs
인도네시아 국가사이버암호원(BSSN)에서 공유한 Brain Cipher Ransomware의 침해지표는 다음과 같다.
[그림 7] 인도네시아 국가사이버암호원(BSSN)에서 공유한 IOCs
4. 참고 자료
[2] https://www.vectra.ai/threat-actors/brain-cipher#mitre-mapping
[5] https://www.linkedin.com/pulse/brain-cipher-new-ransomware-threat-david-sehyeon-baek--bkuec
보안관제센터 MIR Team