Cato CTRL 위협 연구: Hellcat 실체 파헤치기 – 평범하지 않은 랜섬웨어 조직

개요 

주요 기반 시설, 정부 기관, 교육 기관, 에너지 부문을 타겟으로 하는 새로운 랜섬웨어 조직이 등장했습니다.

바로 

Hellcat입니다. 

이들은 정확히 누구일까요? 

Hellcat은 2024년 다크웹 포럼에서 등장한 신생 랜섬웨어 조직입니다. Hellcat은 서비스형 랜섬웨어(RaaS) 모델을 채택하여 수익의 일부를 대가로 제휴사에 랜섬웨어 도구와 인프라를 제공합니다. 

Hellcat의 이중 갈취 전술에는 상대에게 굴욕감과 대중적 압박을 느끼게 하려는 깊은 심리적 요소가 포함되어 있습니다. 본 블로그는 2024년 11월과 12월 Hellcat의 주요 활동 요약을 제공합니다. 이는 Cato CTRL과 제3의 소스를 통한 관찰 결과를 종합한 것입니다.

Cato SASE 클라우드 플랫폼을 통해 기업은 보안 스택을 활용, 랜섬웨어 공격 체인을 최대한 빠르게 차단할 수 있습니다.  

• Cato IPS: 다양한 위협 인텔리전스의 소스 데이터를 포함, 다음과 같은 방법으로 잠재적 랜섬웨어를 차단할 수 있습니다.
  • 다양한 위협(예: 멀웨어 C&C, 랜섬웨어, 피싱 등)과 연관된 것으로 의심되는 웹사이트 액세스 차단. 
  • 랜섬웨어 확산을 시도 하는 것으로 의심되는 악성 호스트 차단.  
  • WAN을 통해 위협 행위자가 활용할 수 있는 횡적 트래픽 차단.
• Cato FWaaS: 사용자가 악성 웹사이트(멀웨어 카테고리 등)에 액세스하는 것을 방지하여 실수로 랜섬웨어가 포함된 악성 페이로드를 다운로드하지 못하도록 합니다.
• Cato NGAM: 추가적인 보호 계층을 제공하며, Cato ZTNA(제로 트러스트 네트워크 액세스)에 기여합니다. 이 엔진은 악성 다운로드 시도를 방지하고 관련 랜섬웨어가 사용자 기기에서 실행되기 전에 차단합니다.

기술적 개요 

랜섬 요구 및 공격 대상

다음은 2024년 11월 Hellcat이 수행한 이중 갈취 공격에 대한 상세 분석입니다. 특별히 주목할 점은 이 그룹과 그 제휴사들이 2024년 11월 14일 하루에만 세 건의 공격을 감행했다는 것입니다.

Schneider Electric SE(2024년 11월 2일)

그림 1. Schneider Electric SE 랜섬 요구(출처: Bleeping Computer)

사건 세부 정보: Bleeping Computer에 따르면, Hellcat은 프랑스 에너지 기업 Schneider Electric SE의 내부 Jira 프로젝트 관리 시스템에 침투하여 사용자 데이터 400,000건을 침해하고 민감 정보를 40GB 이상 유출시켰습니다. 유출된 데이터에는 Schneider Electric 직원 및 고객의 이메일 주소와 성명이 약 75,000건 포함되었습니다.

이 그룹은 피해 회사를 더욱 조롱하기 위해 미화 125,000달러 상당의 바게트를 요구했습니다. 굴욕감을 유발시키는 행위는 Hellcat이 사용하는 주요 심리 전술입니다.

그림 2. 탄자니아 College of Business Education(2024년 11월 4일)

그림 2. 탄자니아 College of Business Education 데이터 유출

사건 세부 정보: Hellcat은 “Hikkl-Chan”과 협력하여 학생, 교수, 직원의 개인식별정보(PII)가 포함된 기록 약 500,000건 이상을 공개했다고 주장했습니다. Hackread에 따르면, 이 위협 행위자는 이전에도 러시아 소셜 네트워킹 사이트 VKontakte(VK) 사용자의 민감 데이터를 약 3억 9천만 건 이상 유출한 바 있습니다.

주요 미국 대학(2024년 11월 14일)

  

그림 3. 미국 대학 루트 접근 액세스 판매 게시물

사건 세부 정보: Cato CTRL 조사 결과에 따르면, 이 그룹은 연매출이 미화 56억 달러 이상인 미국 대학으로 관심을 돌렸습니다. 그들은 다크웹 포럼에 대학 서버의 루트 액세스를 “저렴한 가격”인 미화 1,500달러에 판매한다고 게시했습니다. 이러한 액세스는 학생 기록, 재무 시스템, 중요 운영 데이터를 손상시킬 수 있으며, 심각한 평판 손상과 법적 문제로 이어질 가능성이 있습니다.

프랑스 에너지 배급 회사(2024년 12월 1일)

그림 4. 프랑스 에너지 배급 회사 루트 액세스 판매

사건 세부 정보: Cato CTRL 조사 결과에 따르면, 이 그룹은 연매출이 미화 70억 달러 이상인 프랑스 에너지 유통 회사를 타겟으로 삼았습니다. 이 그룹은 회사 서버에 대한 루트 액세스를 500달러에 판매했습니다.

이라크 시 정부(2024년 12월 1일)

그림 5. 이라크 시 정부 루트 액세스 판매

사건 세부 정보: Cato CTRL 조사 결과에 따르면, 이 그룹은 중요 공공 서비스를 방해할 의도를 밝히며 이라크 시 정부 서버의 루트 액세스를 미화 300달러에 판매하겠다고 광고했습니다. 이는 이라크 정부가 타겟이 된 것은 이번이 처음이 아닙니다. Resecurity에 따르면 이전에도 공급망 공격으로 인해 이라크 독립고등선거위원회(IHEC)의 유권자 데이터와 개인식별정보(PII)가 포함된 데이터베이스가 21.58GB 유출된 바 있습니다.

Q3 2024 Cato CTRL SASE Threat Report | Download the report

공격에서 사용된 TTP

Cato CTRL이 Hellcat이 사용한 전술, 기술, 절차(TTP)를 심층 분석했습니다.

• Jira와 같은 기업용 도구의 제로데이 취약점 악용(Schneider Electric SE 사례). 
• 방화벽 및 중요 인프라 대상 공격(미국 대학 및 프랑스 에너지 유통 회사 사례). 
• 루트 또는 관리자 수준으로 권한 상승. 
• 시스템 암호화 전 데이터를 유출하는 이중 갈취.

결론 

2024년 등장한 Hellcat은 사이버 범죄 환경에 우려할 만한 변화가 나타났다는 증거입니다. Hellcat은 RaaS 모델과 이중 갈취 전술을 활용하여 랜섬웨어에 대한 접근성을 높였을 뿐 아니라 피해자에게 미치는 심리적 압박도 가중시켰습니다. 이 조직이 정부 기관, 교육 기관, 에너지 분야를 집중적으로 노리는 만큼, 이러한 새로운 랜섬웨어 조직에 대항하려면 사이버 보안 조치를 강화하고 경각심을 가져야 합니다. 랜섬웨어와의 싸움은 계속되고 있으며, 점점 정교해지는 사이버 범죄자를 능가하려면 지속적인 대응과 인식이 필요합니다.  

보호 방안

Cato SASE 클라우드 플랫폼으로 보안 스택을 활용해 랜섬웨어 공격 체인을 신속히 차단할 수 있습니다. 

• Cato IPS: 다양한 위협 인텔리전스의 소스 데이터를 포함, 다음과 같은 잠재적 랜섬웨어를 차단할 수 있습니다.
  • 다양한 위협(예: 멀웨어 C&C, 랜섬웨어, 피싱 등)과 연관된 것으로 의심되는 웹사이트 액세스 차단.
  • 랜섬웨어 확산을 시도 하는 것으로 의심되는 악성 호스트 차단.
  • WAN을 통해 위협 행위자가 활용할 수 있는 횡적 트래픽 차단. 
• Cato FWaaS: 사용자가 악성 웹사이트(멀웨어 카테고리 등)에 액세스하는 것을 방지하여 실수로 랜섬웨어가 포함된 악성 페이로드를 다운로드하지 못하도록 합니다. 

Cato NGAM: 추가적인 보호 계층을 제공하며, Cato ZTNA(제로 트러스트 네트워크 액세스)에 기여합니다. 이 엔진은 악성 다운로드 시도를 방지하고 관련 랜섬웨어가 사용자 기기에서 실행되기 전에 차단합니다.