사이버 보안연구원들은 올해 초 미국 정부에 의해 전 세계적으로 수천 건의 공격을 감행한 혐의로 기소된 러시아 시민 Mikhail Pavlovich Matveev가 이끄는 랜섬웨어 작전의 내부 활동을 공개했습니다.
현재 Wazawaka, m1x, Boriselcin, Uhodiransomwar, Orange 및 waza로도 알려진 상트페테르부르크에 살고 있는 Matveev는 락비트,바북 Hive 랜섬웨어 변종의 개발 및 배포에 핵심적인 역할을 했습니다.
스위스사이버 보안회사 프로다프트 The Hacker News에 공유된 포괄적인 분석에 따르면 "와자와카와 그의 팀원들은 강탈금에 대한 탐욕을 나타냈고 네트워크 운영에서 윤리적 가치를 심각하게 무시했습니다."라고 밝혔습니다.
"민감한 파일 유출에 대한 협박, 부정직한 행위에 가담, 피해자가 강탈 비용을 지불한 후에도 파일을 보관하라고 주장하는 등의 전략을 사용하는 것은 전통적인 랜섬웨어 조직의 행동에 만연한 윤리적 공백을 예시합니다."
PRODAFT의 조사 결과는 2023년 4월부터 12월까지 다양한 랜섬웨어 변종과 관련된 다양한 위협 행위자 간의 수천 건의 통신 로그를 가로채서 수집되었습니다.
Matawveev는 777, bobr.kurwa, krbtgt, shokoladniy_zayac, WhyNot 및 dushnila 등 6명의 침투 테스터로 구성된 팀을 이끌고 공격을 수행한 것으로 알려졌습니다. 조직은 구성원 간의 더 나은 협업을 촉진하기 위해 수평적 조직 구조를 사용합니다.
PRODAFT는 "각 구성원은 필요에 따라 자원과 전문 지식을 제공하여 새로운 시나리오와 상황에 적응하는 데 있어 놀라운 유연성과 적응성을 보여줍니다."라고 말했습니다.
Matveev는 Conti, LockBit, Hive, Monti, Trigona 및 NoEscape의 계열사로 활동하는 것 외에도 2022년 초까지 Babuk 랜섬웨어 갱단의 관리 역할도 수행하면서 "정교한 공격"이라고 표현한 내용을 다른 행위자와 공유했습니다. Dudka라는 이름. 관계” Dudka는 아마도 Babuk과 Monti의 개발자일 것입니다.
Matveev와 그의 팀이 시작한 공격은 다음과 같습니다. 줌인포 그리고 센시스,쇼단 그리고 FOFA 이러한 서비스는 피해자에 대한 정보를 수집하고, 알려진 보안 취약점과 초기 액세스 프록시를 이용하여 기반을 확보하고, 맞춤형 도구와 기성 도구를 혼합하여 VPN 계정을 무차별 대입하고, 권한을 확대하고, 캠페인을 간소화합니다.
"초기 액세스 권한을 얻은 후 Wazawaka와 그의 팀은 주로 파워셸 선호하는 원격 모니터링 및 관리(RMM) 도구를 실행하는 명령입니다. 특히 MeshCentral은 다양한 작업을 위해 종종 선택되는 오픈 소스 소프트웨어 역할을 하는 팀의 고유한 툴킷입니다. "
PRODAFT의 분석에서는 Matveev와 2014년에 해체된 GameOver Zeus 봇넷 및 Evil Corp의 개발과 연관된 러시아 시민인 Evgeniy Mikhailovich Bogachev 사이의 관계를 추가로 밝혀냈습니다.
특히, Babuk 랜섬웨어 작전은 2019년 12월 미국의 제재를 우회하려는 명백한 시도의 일환으로 Evil Corp와 연결된 PayloadBIN으로 이름이 변경되었습니다.
PRODAFT는 "이 기술적인 연결은 Wazawaka와 악명 높은 사이버 범죄자 Bogachev의 관계와 결합되어 Wazawaka, Bogachev 및 Evil Corp의 운영 사이에 더 깊은 연결이 있음을 시사합니다"라고 말했습니다.
최고 보안 책임자의 원본 글, 복제 시 출처 표시: https://www.cncso.com/kr/how-a-russian-hacker-built-a-ransomware-empire.html
