2023년 9월 상위 랜섬웨어 그룹 (출처 : cyfirma)

Cactus 랜섬웨어란

2023년 3월에 대규모 상업 조직을 표적으로 삼는 새로운 변종 랜섬웨어 Cactus 가 등장 하였습니다. 이 랜섬웨어의 고유한 이름인 Cactus는 이 랜섬웨어가 남긴 랜섬노트 Cactus.readme.txt파일 이름에서 유래되었습니다. Cactus는 Lockbit3, LostTrust, Alphv, Ransomedvc등과 함께 9월 상위 5개의 랜섬웨어 그룹 안에 속할 정도로 상당한 위협이 되었습니다.

Cactus는 원격 사용자와 네트워크 간의 보안 연결을 설정하는데 사용되는 가상 사설망인 VPN 어플라이언스의 취약점을 악용하여 피해자의 시스템에 대한 초기 액세스 권한을 얻습니다. 이러한 취약점에는 소프트웨어 버그, 약한 암호화 프로토콜 등이 있습니다. Cactus는 다른 랜섬웨어와 마찬가지로 데이터를 훔치고 파일을 암호화는 일반적인 방법을 사용하지만, 탐지를 피하기 위해 다른 방법을 추가하였습니다. 배치스크립트와 7-Zip을 이용한 암호화를 사용하여 바이너리를 보호함으로써 백신 소프트웨어를 통한 바이러스 탐지를 어렵게 합니다.

Cactus 랜섬웨어의 공격 기법, 절차( 출처 : Kroll )

Cactus 랜섬웨어가 시스템을 감염시키는 방법

Cactus 랜섬웨어는 VPN 어플라이언스의 알려진 취약점을 활용하여 네트워크에 대한 무단 액세스 권한을 얻습니다. 이러한 취약점을 통해 랜섬웨어는 대상 시스템에 침투하는 길을 찾습니다. 네트워크 내부로 들어가면 Cactus 랜섬웨어는 한 장치에서 다른 장치로 이동하면서 측면으로 확산됩니다. 네트워크 보안의 약점, 취약한 비밀번호 또는 패치 되지 않은 소프트웨어를 활용하여 여러 시스템에 대한 제어권을 얻습니다.

Cactus는 Chisel, Rclone, TotalExec 및 Scheduled Tasks와 같은 도구를 사용하여 공격 활동을 수행합니다. Chisel은 공격자가 초기 침투에 성공한 장치와의 통신을 하는 것을 은폐하고, msiexec.exe를 사용하여 바이러스 백신 소프트웨어를 제거합니다. Rclone은 클라우드 스토리지 솔루션으로, 민감한 데이터를 클라우드 저장소로 전송 합니다. TotalEXec.ps1이라는 스크립트와 psExec를 사용 하여 관리자 계정 설정 및 랜섬웨어 페이로드 추출 등 배포 설정을 자동화 합니다.

Cactus의 랜섬노트 ( 출처 : salvagedata )

Cactus 랜섬웨어의 암호화 과정

블랙리스트에 없는 탐색된 각 디렉터리에 랜섬노트를 생성하고 파일의 경로를 표준화된 형식의 경로로 변환합니다. 파일이 암호화에서 제외된 디렉터리에 속해 있는지, 제외된 파일인지, 제외된 파일 확장자를 가지고 있는지 확인합니다. 이러한 조건 중 하나라도 해당되면 파일을 건너뛰고 다음 파일로 진행합니다. 어떤 조건도 충족되지 않으면 단계에 따라 파일을 암호화 합니다. 암호화할 파일의 이름에 확장자.cts0을 추가합니다. AES-256-CBC 암호화 알고리즘을 사용하여 파일을 암호화하고, 키는 RSA-4096 암호화 알고리즘을 사용하여 암호화됩니다. 원본 소스 파일을 암호화된 버전으로 바꾸고 파일 확장자를 .cts0에서 cts1로 변경 합니다. 

Cactus의 랜섬노트 Cactus.readme.txt에는 암호화된 메시징 플랫폼인 TOX.chat을 통해 공격자와 협상할 수 있는 방법에 대한 정보가 포함되어 있으며, 암호화된 파일을 복구하기 위한 암호 해독키를 대가로 몸값을 지불하라는 지침과 요구사항이 포함되어 있습니다.

결론

랜섬웨어는 수년 동안 모든 규모의 기업에 가장 큰 위협 중 하나였으며, Cactus 랜섬웨어는 위협 행위자가 최선의 방어 수단을 뚫으려고 계속해서 진화하는 방식을 보여주는 예시 중 하나입니다. 모든 새로운 방어 메커니즘을 통해 사이버 위협 환경은 점점 더 정교해지고 있습니다. 따라서 새로운 위협을 파악하여 징후를 인식하고 시스템을 적절하게 방어하는 것이 중요합니다. 

Cactus 랜섬웨어의 공격을 방지하는 방법 

• 출처를 알 수 없는 이메일의 첨부파일을 열지 않습니다.

• 안전하다고 확신하지 않는 한 광고를 클릭하지 않습니다. 

• 의심스러운 웹사이트에 접근하거나 파일을 다운받지 않습니다. 

Cactus 랜섬웨어에 감염 되었을 경우 

• 인터넷 연결을 끊고 연결된 모든 장치를 제거하여 감염된 컴퓨터를 격리합니다. 

• 시스템을 다시 시작하거나 종료하지 않고, 랜섬노트의 스크린샷, 위협 행위자와의 통신, 암호화된 파일의 샘플, 드로퍼 파일, 등 공격 에 대해 가능한 모든 정보를 수집하여야 합니다. 이는 전문가가 데이터를 해독하거나 작동방식을 이해하고, 공격자를 찾는 것에 도움이됩니다.