FBI와 호주 사이버 보안 센터(ACSC)는 전 세계 광범위한 기업 및 조직들을 대상으로 진행중인 Avaddon 랜섬웨어 조직에 대해 경고하고 있습니다.
FBI는 지난 주 TLP:Green 긴급 경고에서 Avaddon 랜섬웨어 조직이 전 세계 제조, 의료 및 기타 민간 부문 조직의 네트워크를 침해하려고 시도하고있다고 밝혔습니다.
ACSC는 Avaddon 랜섬웨어 조직이 정부, 금융, 법집행부, 에너지, IT 및 의료기관을 포함한 광범위한 분야의 조직을 노리고 있다고 밝혔습니다.
Avaddon 랜섬웨어에 감염되면 데이터를 암호화하면서 파일 확장자가 .avdn으로 바뀌게 됩니다.
FBI는 현재 진행중인 공격만 언급하지만 ACSC 보고서에서는 공격 대상 국가와 분야 목록을 제공하고 있습니다.
ACSC는 [TLP-WHITE 2020-003: Ongoing Campaign using Avaddon Ransomware]에서
“ACSC는 주로 호주 내 다양한 분야의 조직들을 대상으로 Avaddon 랜섬웨어 악성코드를 사용하는 랜섬웨어 조직에 대해 인지하고 있다. ACSC는 Avaddon 랜섬웨어가 호주 내 조직에 직접적인 영향을 미친 여러 사례를 파악하고 있다.” 고 밝혔습니다.
[Avaddon 랜섬웨어의 타겟 목록]
출처 : https://www.cyber.gov.au/sites/default/files/2021-05/2021-003%20Ongoing%20campaign%20using%20Avaddon%20Ransomware%20-%2020210508.pdf
FBI : Avaddon이 실체 없는 DDoS 공격을 통해 협박한다고 밝혀
ACSC는 Avaddon 조직이 데이터 유출 및 시스템 암호화 이외에도 DDoS 공격으로 협박하여 랜섬머니를 요구하고 있습니다.
2021년 초에 Avaddon 조직이 DDoS 공격 타겟으로 발표한 한 사이트가 마비가 된 적은 있으나 FBI는 Avaddon 조직이 랜섬웨어 공격 이후 DDoS 공격을 했었다는 증거가 발견되지 않았다고 발표했습니다.
Avaddon 조직은 2021년 1월에 처음으로 피해자가 연락을 하여 랜섬머니 협상을 하기 전까지 피해자의 사이트나 네트워크를 마비시키기 위한 DDoS 공격을 시작할 것이라고 발표했습니다.
당시 이 새로운 전술을 사용하고 있던 두 가지 랜섬웨어 조직은 SunCrypt와 RagnarLocker 였습니다.
[Avaddon 사이트의 DDoS 위협]
출처 : Avaddon onion 사이트
Avaddon 랜섬웨어 샘플은 2019년 2월에 처음 발견되었으며 전 세계 사용자들을 대상으로 하는 대규모 스팸 캠페인을 시작한 후 2020년 6월에 제휴사를 모집하기 시작했습니다.
해당 RaaS 작업에 참여하는 제휴사는 네트워크를 손상시켜 페이로드를 배포하거나 스팸 또는 익스플로잇 키트를 통해 랜섬웨어를 배포하는 역할을 합니다. 동시에 운영자는 악성 코드를 개발하고 Tor 결제 사이트를 운영합니다.
Avaddon은 각 제휴사는 랜섬머니의 65%를 가지고, 운영자는 35%를 가집니다. 하지만 다른 RaaS와 마찬가지로 제휴사의 공격 규모에 따라 더 높은 지분을 가져가도록 협상할 수 있습니다.
Avaddon 조직이 복호화 툴을 지급할 때 요구하는 평균 랜섬머니는 0.73비트코인 (한화 약 44,713,986원)입니다.
Avaddon 조직은 이중 갈취를 위하여 시스템 암호화 전에 피해자의 네트워크에서 데이터를 훔친 것으로도 알려져 있습니다.
이 전략은 거의 모든 랜섬웨어 작업에서 일반적으로 사용되고 있으며, 피해자는 일반적으로 랜섬웨어 공격에 따른 데이터 유출 가능성을 고객이나 직원에게 알립니다.
Avaddon Ransomware TTPs
가. 피싱 및 악성 이메일 스팸(MalSpam) 캠페인을 사용하여 악성 JavaScript 파일을 전달
나. 이중 갈취 기법을 사용하고 다음과 같은 방법으로 랜섬머니 지불 강요:
- 피해자 데이터 유출 위협(Avaddon 데이터 유출 사이트 : avaddongun7rngle[.]onion[.]ly)
- DDoS 공격 위협
다. GetUserDefaultLCID() 함수를 적용하여 사용자 장치의 기본 위치 정보 및 시스템 언어를 식별한 후 사용자가 공격 대상인지 여부를 결정
라. Avaddon의 TTP는 Ako 및 MedusaLocker 랜섬웨어 변종 내에서 사용된 TTP와 매우 유사. (AES-256로 암호화 수행, Windows 예약 작업 사용하여 지속성 설정 등)
Mitigations (ACSC 발간)
- 운영 체제 및 응용 프로그램을 패치하고 바이러스 백신을 최신 상태로 유지
- 이메일과 첨부 파일을 스캔하여 악성코드를 탐지 및 차단하고, 피싱 및 외부 소스 이메일을 식별하기 위한 교육 및 프로세스 구현
- 암호화된 오프라인 데이터 백업을 유지하고 정기적으로 백업을 테스트, 정기적으로 백업 절차 수행
[참고자료]
https://www.bleepingcomputer.com/news/security/another-ransomware-now-uses-ddos-attacks-to-force-victims-to-pay/
https://www.bleepingcomputer.com/news/security/us-and-australia-warn-of-escalating-avaddon-ransomware-attacks/
https://cyware.com/news/avaddon-ransomware-using-ransom-ddos-attacks-0308d27d
보안관제센터 Team MIR