Black Basta의 실수: 갱단의 유출된 채팅 악용
위협 요약 - 2025년 3월 17일
개요
Black Basta는 Ryuk 및 Conti 범죄 기업과 연계된 악명 높은 랜섬웨어 그룹으로, Telegram 채널에 Matrix 채팅 서버가 유출되어 노출되었습니다. 도메인 bestflowers247[.]online에서 호스팅되는 해당 채팅 서버는 ExploitWhispers를 사용하는 사용자가 유출했습니다. 유출된 파일에는 타임스탬프, 발신자 및 수신자 정보, 스레드 ID, 메시지 내용이 자세히 설명된 JSON 문서가 포함되어 있었습니다. 이 데이터는 이 그룹의 운영에 대한 실행 가능한 인사��이트를 제공하여 그룹의 구성원이 사용하는 주요 계정과 도메인을 식별하는 데 도움이 됩니다.
유출된 채팅 데이터는 Black Basta의 내부 작동에 대한 인사이트를 제공할 뿐만 아니라 광범위한 랜섬웨어 생태계에 대한 정보를 제공합니다. 이 그룹이 이 생태계를 탐색하는 방식을 이해하면 그 규모와 역량에 대한 귀중한 관점을 얻을 수 있으며, 다양한 방법을 통해 그 효과와 영향력을 평가할 수 있습니다. 한 가지 접근 방식은 이 범죄 기업의 암호화폐 거래를 분석하는 것입니다. 블록체인 인텔리전스 회사 Chainalysis의 Kaitlin Martin은 Black Basta 유출과 관련하여 바로 이 점을 강조했습니다.
"유출된 Black Basta 채팅 내의 온체인 및 오프체인 데이터를 보면 이 그룹이 자체 운영을 위해 다양한 웹 서비스, 타사 서비스, 다크 웹 포럼에 얼마나 의존하는지 알 수 있습니다. Black Basta뿐만 아니라 다른 랜섬웨어 그룹에서도 이러한 서비스에 비용을 지불한다는 사실은 이러한 서비스가 랜섬웨어 생태계에서 중요한 인프라의 일부라는 것을 보여줍니다."
금융 거래와 운영 의존성을 조사함으로써 연구자들은 이들 그룹이 운영하고 자체를 유지하는 생태계를 더 잘 이해할 수 있습니다.
이 생태계의 핵심 요소 중 하나는 랜섬웨어 조직에서 피해자를 선택하는 방법입니다. 전 세계에 걸쳐 일부 산업과 지역이 불균형적으로 큰 피해를 입었다는 것은 확실한 사실이지만, 랜섬웨어 갱단이 특정 피해자를 선택한다기 보다는 이미 침해된 컴퓨터 풀에서 피해자를 선택하는 것으로 보입니다. 랜섬웨어 그룹은 매일 수천 대의 컴퓨터를 감염시키는 범죄 팀과 협력한 다음 손상된 시스템 목록을 검토하여 자금이 풍부한 기업의 시스템을 식별합니다.
많은 경우 랜섬웨어 그룹에서는 범죄 시장과 포럼에서 거래되고 판매되는 방대한 자격 증명을 수집하는 브로커로부터 피해자 호스트에 대한 초기 액세스 권한을 구매합니다. LummaC2와 같은 인포스틸러가 수집한 이러한 자격 증명은 RDWeb, Citrix, 브라우저 기반 VPN 등의 원격 액세스 시스템 계정에 속하는 경우가 많습니다. 이러한 선택 프로세스를 이해하면 강력한 자격 증명 보안, 네트워크 세분화, 사전 위협 모니터링을 통해 랜섬웨어 공격이 본격적인 공격으로 확대되기 전에 그 작업을 중단시키는 것이 중요하다는 것을 알 수 있습니다.
유출 사건 이전에 Black Basta는 매우 효과적인 랜섬웨어 작전을 수행하여 수많은 기업에 침입하고 수백만 달러의 손해를 입히고 랜섬을 지급하도록 했습니다. 유출된 채팅 데이터를 살펴보면 이 그룹의 전술, 기술, 절차(TTP)에 대한 인텔리전스를 제공하여 이들의 운영에 대하여 파악할 수 있습니다. Cloudflare에서는 이 데이터를 사용하여 Black Basta 활동을 추적하고 인프라와 공�격 방법에 대한 고유한 인사이트를 확보했습니다. 조직에서는 이 정보를 활용하여 Black Basta와 같은 랜섬웨어 조직에 대한 이해를 강화하여 방어를 개선하고 다음 행동을 선제적으로 예측하여 향후 공격의 피해자가 될 위험을 줄일 수 있습니다.
Cloudforce One으로 Black Basta TTP를 분석합니다
Cloudforce One으로 bestFlowers.json 파일을 확보했을 때, 저희는 먼저 채팅에서 참조된 모든 인프라를 열거하여 고유한 가시성을 가진 인프라에 집중했습니다. 이 과정에서 저희는 Black Basta에서 데이터 유출을 용이하게 하고 원격 인프라를 모호하게 하기 위해 사용하는 기술을 파악했습니다. Cloudflare에서는 철저히 분석하여 이 인프라가 미칠 잠재적 영향을 평가했습니다. 저희가 조사한 결과, 채팅에 언급된 많은 도메인이 사용되지 않은 것으로 확인되었으며, 이는 실현되지 않은 작업을 위해 선제적으로 생성된 것으로 나타났습니다.
Black Basta는 일관된 프로세스에 따라 인프라 공급자에 대한 계정을 설정했습니다. 그룹 구성원들은 채팅을 통해 이름, 우편 주소, 로그인 자격 증명 등 계정 생성 세부 정보를 정기적으로 공유했습니다. 이들은 무료 이메일 서비스를 활용하는 대신 이메일 주소에 기업처럼 보이는 도메인을 사용했습니다. 이들은 인프라를 관리할 때 다양한 네트워크에서 연결했고 익명 서비스에 일관성 없이 의존했습니다. 비밀번호는 상당히 복잡했지만, 여러 계정에 걸쳐 동일한 비밀번호를 자주 재사용했습니다.
Black Basta의 인프라에 대한 조사를 완료한 후, 저희는 채팅을 면밀히 검토하여 초기 액세스 방법, 익스플로잇 후 전술, 협상 전략을 분석했습니다. Black Basta는 Qakbot과 같은 선구적인 맬웨어를 적극적으로 활용하여 전 세계에 걸쳐 방대한 대수의 컴퓨터에 침투했습니다. 액세스 권한을 얻은 후 이들은 익스플로잇 후 작업을 통해 영구 비콘 설치, 디렉터리 열거, 권한 에스컬레이션 등 잘 알려진 기술을 포함하여 가치가 높은 표적을 식별했습니다.
일부 경우에는 인포스틸러가 수집한 자격 증명 등 다른 방법을 사용하여 시스템을 침해했습니다. Cloudforce One은 인포스틸러 로그 전용 Telegram 채널에서 자유롭게 거래되고 공유되는 자격 증명 모음에서 관련 계정 중 일부를 발견했습니다. 이처럼 손상된 계정 중 하나와 관련된 Telegram 메시지의 예가 아래 이미지에 나와 있습니다.
Black Basta가 자격 증명 도용과 맬웨어에 의존하는 것은 랜섬웨어 생태계가 상호 연결되어 있다는 특성을 강조합니다. 이 생태계는 초기 액세스뿐만 아니라 운영을 뒷받침하는 금융 인프라에서도 번창합니다. 랜섬 지급은 암호화폐, 특히 비트코인을 통해 이루어집니다. 유출된 채팅에는 결제 대상으로 사용될 수 있는 수많은 암호화폐 주소가 포함되어 있으며, 다른 주소와 클러스터링하여 Black Basta의 재정적 발자국과 영향을 분석할 수 있습니다.
이 그룹은 또한 인프라에 대한 결제를 준비할 때 암호화폐를 언급하며, 요청자는 금액을 지정하고 때로는 여러 암호화폐 결제 옵션을 제공합니다. 이는 2022년 Conti 채팅 유출 사건에서 관찰된 관행과 유사합니다. 당시 팀 구성원들은 관리자들에게 가상 사설 서버, 도메인 이름, VPN 서비스 비용을 암호화폐로 지불해 달라고 정기적으로 요청했습니다.
스스로 보호하는 방법
많은 저널과 블로그에서 랜섬웨어 완화 권장 사항을 제공하지만, 사고의 근본 원인을 해결하지 못하는 경우가 많습니다. 랜섬웨어 그룹은 일반적으로 다음과 같은 몇 가지 주요 방법을 통해 초기 액세스 권한을 얻습니다.
자격 증명 도용 및 재판매: 인포스틸러는 원격 액세스 자격 증명을 수집하여 초기 액세스 브로커에게 판매합니다. 이 브로커는 해당 자격 증명을 랜섬웨어 조직에 판매합니다.
선구적 맬웨어 배포: 위협 행위자는 광범위한 스팸 캠페인을 통해 Qakbot, IcedID 등의 맬웨어를 배포합니다. 그런 다음 감염된 컴퓨터에서 가치가 높은 랜섬웨어 대상을 식별합니다. 공격자는 악의적인 페이로드를 다운로드하고 실행하는 스크립트가 포함된 이메일 첨부 파일이�나 스크립트가 포함된 파일 링크를 통해 이 맬웨어를 전달하는 경우가 많습니다.
취약한 에지 장치 악용: 랜섬웨어 그룹은 방화벽, VPN 장비, 파일 공유 서비스의 패치되지 않은 취약점을 자주 악용하여 무단 액세스를 확보합니다. 많은 랜섬웨어 사고는 이러한 약점에서 비롯됩니다.
다음 권장 사항에 따라 랜섬웨어에 대한 노출을 줄이세요.
브라우저에 저장된 비밀번호 사용하지 않음: 조직 비밀번호 관리자가 있는 기업에서는 사용자가 웹 브라우저에 자격 증명을 저장하지 못하도록 해야 합니다.
원격 액세스 시스템 보호: 인터넷에 노출된 RDP, RDWeb, Citrix, VPN, 기타 원격 액세스 서비스에 대해 다단계 인증(MFA)을 요구합니다.
사용자에게 불법 복제 소프트웨어에 대해 교육: 불법 소프트웨어는 인포스틸러의 주요 출처이며, 이들은 자격 증명을 수집하여 나중에 초기 액세스 브로커에게 판매합니다.
이메일 첨부 파일을 신��중하게 필터링: 매크로나 스크립트와 같은 활성 콘텐츠가 포함된 첨부 파일을 차단하여 맬웨어가 전달되지 않도록 합니다.
위험한 사무실 매크로 차단: 인터넷에서 다운로드되었음을 나타내는 웹 마크가 표시된 Office 문서에서 매크로가 실행되지 않도록 합니다.
Cloudflare 네트워크에 대한 남용 신고: 의심스러운 활동을 발견하면 Cloudflare의 Trust Hub에 신고하세요.
손상 지표
Black Basta의 채팅 로그에서 추출한 다음 도메인 목록은 맬웨어 및 데이터 유출과 관련이 있습니다. 이러한 도메인 중 일부는 과거에 활성화되어 있었고 향후 트래픽에는 나타나지 않을 가능성이 높지만, 소급 분석을 수행하면 과거 연결 기록을 식별하는 데 도움이 될 수 있습니다. 이러한 도메인과 관련된 과거 활동을 감지하면 맬웨어가 명령 및 제어 서버와 통신한 것으로 나타날 수 있습니다.
이 표에는 유출된 채팅에서 발견된 주요 도메인과 IP 주소가 포함되어 있지만, Cloudforce One에서 추적한 Black Basta 지표�의 샘플만 제공됩니다. 추가 실행 가능한 컨텍스트와 전체 지표 목록은 Cloudforce One 위협 이벤트 플랫폼을 참조하세요.
Cloudforce One 소개
Cloudflare의 사명은 더 나은 인터넷 구축을 지원하는 것입니다. 그리고 더 나은 인터넷은 신뢰를 무너뜨리고 개인적 또는 정치적 이득으로 인터넷을 왜곡하려는 위협 행위자를 감지하고, 방해하며, 저지하려는 선의의 단체가 있을 때만 존재할 수 있습니다. 전 세계적으로 유명한 위협 연구자들로 구성된 Cloudflare의 전담 팀인 Cloudforce One은 위협 인텔리전스를 게시하여 보안팀이 안심할 수 있는 결정을 신속하게 내릴 수 있도록 컨텍스트를 제공하는 업무를 맡고 있습니다. Cloudflare에서는 다른 누구도 갖추고 있지 않은 독보적인 인사이트로 공격을 파악하고 방어합니다.
인터넷의 약 20%를 포괄하는 Cloudflare의 전 세계 최대 규모 전역 네트워크가 이러한 가시성의 기반이 됩니다. 인터넷 곳곳에서 수백만 명의 사용자가 Cloudflare의 서비스를 채택하고 있으며, 이를 통해 Cloudflare는 인터넷에 대한 가장 흥미있는 공격을 비롯하여 글로벌 이벤트에 대한 독보적인 가시성을 제공받고 있습니다. 이러한 유리한 위치에서 Cloudforce One은 실시간 정찰 활동을 수행하고, 공격 시작 시점에 공격을 방어하며, 인텔리전스를 전술적 성공으로 전환할 수 있습니다.
