REvil 랜섬웨어 공격 그룹, 다시 활동 재개해

지난 6개월 동안 활동이 없었던 REvil(Sodinokibi) 랜섬웨어 그룹이 다시 활동을 재개한 것으로 밝혀졌습니다.

 

보안 회사 Secureworks의 CTU팀 연구진은 24일(현지시간) 발표된 보고서에서 "REvil 랜섬웨어 샘플을 분석한 결과, 개발자가 REvil의 소스 코드에 접근할 수 있는 것으로 나타나 REvil 그룹이 다시 활동을 시작할 가능성이 높습니다" 라고 말했습니다 .

 

"이렇게 짧은 기간 내에 다양한 변종 샘플들이 식별되고, 새로운 공식 버전이 없다는 것은 현재 REvil이 악성코드를 개발하는 중임을 나타냅니다."

 

Secureworks 연구진은 유사한 코드를 가진 GandCrab 활동이 줄어든 후 REvil 그룹이 나타나, REvil 그룹이 GandCrab 랜섬웨어(GOLD SOUTHFIELD 위협 그룹)와 연관되었을 가능성이 있다고 분석했습니다.

 

REvil 랜섬웨어 공격 그룹

REvil 그룹은 랜섬웨어 감염 뿐만 아니라 탈취 데이터를 유출하겠다는 협박을 하면서 이중 갈취 전략을 채택한 초기 그룹 중 하나입니다.

 

2019년부터 운영된 REvil 그룹은 작년 JBS와  Kaseya를 공격해 주목을 받았고, 법 집행 기관이 REvil 그룹의 Tor 서버를 압수한 후 2021년 10월  활동을 중단했습니다.

 

올해 1월 초, 러시아 연방 보안국(FSB)은 REvil 랜섬웨어 그룹의 멤버를 체포했습니다.

 

REvil 랜섬웨어 샘플 분석

4월 20일, REvil 그룹의 데이터 유출 사이트가 새로운 호스토로 리디렉션되기 시작하면서 REvil 그룹의 활동이 시작됐습니다.

 

보안 회사 Avast는 일주일 후  "새로운 Sodinokibi/REvil 변종"으로 보이는 랜섬웨어 샘플을 차단했다”고 밝혔습니다.

 

문제의 샘플은 파일을 암호화하지 않고 임의의 랜덤한  확장명만 추가하는 것으로 밝혀졌지만, 보안 회사 Secureworks는 암호화 중인 파일의 이름을 바꾸는 기능에 사용된 프로그래밍 오류에 대한 설명했습니다.

 

Secureworks가 분석한 새로운 샘플(Timestamp: 2022년 3월 11일)에는 2021년 10월에 발견된 REvil 샘플과는 구별되는 소스 코드 변경사항이 있었습니다.

 

새로운 샘플에서 발견된 변경사항에는 문자열 암호 해독 논리, 구성 저장소 위치 및 하드 코딩된 공개 키 등이 있습니다.

 

또한, 랜섬 노트에 표시된 Tor 도메인도 수정되었으며, 이 도메인은 지난달에 게시된 동일한 사이트를 참조합니다.

 

• 레빌 유출 사이트: blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd[.]onion
• REvil 랜섬웨어 몸값 지불 사이트: landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad[.]onion

 

[그림 1] 결제·유출 사이트에 대한 업데이트된 Tor 도메인이 포함된 REvil 랜섬노트(출처: Secureworks)

 

REvil의 활동 재개에는 러시아의 우크라이나 침공과 관련이 있을 수도 있으며, 이에 따라 미국은 중요 기반 시설을 보호하기 위해 미국과 러시아간에 제안된 공동 협력을 철회했습니다.

 

IOC

Indicator	Type	Context
db2401798c8b41b0d5728e5b6bbb94cf	MD5 hash	REvil sample(2022 3월)
6620f5647a14e543d14d447ee2bd7fecc03be882	SHA1 hash	REvil sample(2022 3월)
861e2544ddb9739d79b265aab1e327d11617bc9d 9c94bc5b35282c33fcb419bc	SHA256 hash	REvil sample(2022 3월)
ad49374e3c72613023fe420f0d6010d9	MD5 hash	REvil sample(2022 4월)
eb563ab4caca7e19bdeee807b025ab2d54e23624	SHA1 hash	REvil sample(2022 4월)
0c10cf1b1640c9c845080f460ee69392bfaac981a4407b607e8e30d2ddf903e8	SHA256 hash	REvil sample(2022 4월)
blogxxu75w63ujqarv476otld7cyjkq4yoswzt4ijadkjwvg3vrvd5yd.onion	Domain name	REvil 유출 사이트(2022 4월)
landxxeaf2hoyl2jvcwuazypt6imcsbmhb7kx3x33yhparvtmkatpaad.onion	Domain name	REvil 랜섬 몸값 지불 사이트 (2022 4월)

 

참고 자료

https://thehackernews.com/2022/05/new-revil-samples-indicate-ransomware.html

https://www.secureworks.com/blog/revil-development-adds-confidence-about-gold-southfield-reemergence

https://www.virustotal.com/gui/file/861e2544ddb9739d79b265aab1e327d11617bc9d9c94bc5b35282c33fcb419bc

 

보안관제센터 MIR Team