다중 라이센스 할인 견적
위협 데이터베이스 랜섬웨어 카오스 RaaS 해커 그룹

카오스 RaaS 해커 그룹

랜섬웨어년에 Mezo 년까지
번역 :

새롭게 등장한 랜섬웨어 서비스형(RaaS) 공격인 '카오스(Chaos)'가 위협 환경에 진입하며 사이버 보안 업계에 경종을 울리고 있습니다. 2025년 2월 처음 발견된 카오스는 최근 '체크메이트 작전(Operation Checkmate)'으로 사법 당국에 의해 다크 웹 인프라가 파괴된 블랙수트(BlackSuit) 조직의 전 구성원들과 밀접한 관련이 있는 것으로 보입니다. 이름과 달리, 카오스는 야쉬마(Yashma)나 럭키그흐트(Lucky_Gh0$t)와 같은 기존 카오스 랜섬웨어 개발 조직과는 아무런 관련이 없어, 이미 복잡한 위협에 의도적인 혼란을 더하고 있습니다.

혼돈의 전술: 스팸에서 소셜 엔지니어링까지

카오스 공격자들이 사용하는 공격 사슬은 저비용 스팸 플러딩으로 시작하여 보이스 피싱(비싱)으로 빠르게 확대됩니다. 위협 행위자들은 이러한 기법을 사용하여 대상을 속여 원격 데스크톱 소프트웨어, 특히 Microsoft Quick Assist를 설치하도록 유도하여 초기 접근 권한을 획득합니다.

침투 후, 그들은 AnyDesk, ScreenConnect, OptiTune, Syncro RMM, Splashtop과 같은 원격 모니터링 및 관리(RMM) 도구를 활용하여 침해된 네트워크에 대한 지속적인 제어를 구축합니다. 침해 후 조치에는 자격 증명 수집, PowerShell 이벤트 로그 삭제, 그리고 탐지 및 대응 기능을 약화시키는 보안 도구 제거 등이 포함됩니다.

대형 사냥과 이중 강탈

카오스는 이중 갈취 수법을 사용하여 고가치 개체를 노리는 대규모 사냥 전략을 채택했습니다. 이는 파일을 암호화하는 것뿐만 아니라 몸값을 지불하지 않으면 도난당한 데이터를 유출하겠다고 위협하는 것을 의미합니다. 이 조직은 합법적인 파일 동기화 소프트웨어인 굿싱크(GoodSync)를 사용하여 랜섬웨어 페이로드를 실행하기 전에 민감한 데이터를 유출합니다.

마지막 단계는 로컬 및 네트워크 리소스를 모두 빠르게 암호화할 수 있는 다중 스레드 랜섬웨어 바이너리를 배포하는 것입니다. 복구 노력을 더욱 어렵게 만들고 탐지를 피하기 위해 랜섬웨어는 가상 머신 방어, 디버깅 도구, 자동화된 샌드박스 및 기타 위협 분석 환경을 포함한 고급 분석 방지 전략을 사용합니다.

크로스 플랫폼 호환성 및 막대한 몸값

카오스 랜섬웨어는 Windows, Linux, ESXi, NAS 시스템 등 다양한 환경에서 호환성이 검증되어 매우 다재다능합니다. 공격자는 일반적으로 약 30만 달러에 달하는 엄청난 몸값을 요구하며, 그 대가로 복호화 도구와 공격 경로 및 보안 권장 사항을 포함한 '상세한 침투 개요'를 요구합니다.

알려진 피해자 대부분은 미국에 거주하고 있으며, 이로 인해 미국은 이 진화하는 위협의 주요 타깃 지역이 되었습니다.

과거의 메아리: 혼돈과 블랙슈트 연결

카오스(Chaos)라는 이름은 생소하지만, 그 기술과 인프라는 명확한 계통을 보여줍니다. 분석가들은 블랙수트(BlackSuit)의 운영 방식과 상당한 중복을 지적했는데, 여기에는 다음과 같은 유사점이 있습니다.

  • 암호화 명령
  • 몸값 요구서의 구조와 어조
  • 동일한 RMM 도구 사용

이는 BlackSuit 자체가 악명 높은 Conti 랜섬웨어 조직에서 유래한 Royal의 리브랜딩이었기에 의미가 깊습니다. 이러한 정체성의 변화는 이러한 위협 행위자들이 법 집행 기관보다 앞서 나가고 운영의 기세를 유지하기 위해 어떻게 리브랜딩하고 조직을 재편하는지를 보여줍니다.

체크메이트 작전: 법 집행 기관의 전술적 승리

카오스의 등장은 블랙수트(BlackSuit)의 다크웹 인프라를 무력화하는 데 있어 법 집행 기관이 큰 승리를 거둔 시점과 맞물려 있습니다. 압수된 사이트를 방문하는 사람들은 이제 미국 국토안보부 수사국(US Homeland Security Investigations)의 스플래시 페이지를 보게 되는데, 이 페이지는 해당 사이트들이 국제적인 공조 작전의 일환으로 압수되었다고 주장합니다. 그러나 당국은 아직 이 작전에 대한 공식 성명을 발표하지 않았습니다.

마무리 생각: 혼돈은 정교함과 기만을 가져온다

혼돈은 정교한 수법과 기만적인 브랜딩이 위험하게 뒤섞인 형태입니다. 합법적인 도구, 표적 공격, 그리고 탐지 방지 전략을 사용하는 혼돈은 심각한 위협이 됩니다. 조직은 경계를 늦추지 말고 악성코드 자체뿐 아니라 초기 성공을 가능하게 하는 사회 공학적 전술에 대한 방어 체계를 강화해야 합니다.

트렌드

Ecergerwagonal.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
웹 서핑 시 주의를 기울이는 것은 단순한 권고가 아니라 필수입니다. 사기꾼들은 기술적, 인적 취약점을 끊임없이 악용하여 무심코 사용자를 데이터 도용, 악성코드 유포, 또는 속임수를 통한 수익 창출을 위한 함정에 빠뜨립니다. 이러한 위협 중 하나는 Ecergerwagonal.com입니다. 이 사기성 웹사이트는 사용자를 속여 유해한 브라우저 알림을...

안드로이드가 귀하의 휴대전화에 대한 도청을 감지했습니다.

불량 웹사이트
사이버 위협은 더 이상 대기업을 노리는 복잡한 악성코드에만 국한되지 않습니다. 일반 사용자들도 피해자가 될 가능성이 높으며, 특히 두려움과 긴박감을 이용한 사회 공학적 수법을 통해 피해를 입을 가능성이 높습니다. 심각한 사례 중 하나는 '안드로이드가 사용자 휴대전화의 도청을 감지했습니다' 사기입니다. 이 사기는 사용자들이 자신의 기기가...

귀하의 시스템이 3가지 바이러스에 감염되었습니다. 팝업 사기

불량 웹사이트, 잠재적으로 원하지 않는 프로그램
사용자들은 점점 더 정교해지는 온라인 사기의 표적이 되고 있습니다. 사이버 보안 연구원들이 발견한 이러한 사례 중 하나가 바로 '시스템에 바이러스 3개가 감염되었습니다' 팝업 사기입니다. 이 사기 수법은 두려움을 조장하여, 사용자(주로 안드로이드 사용자)를 속여 의심스러운 소프트웨어를 설치하거나 민감한 정보를 유출하도록 하는 위험하고...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
59,139
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
45,770
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Discord가 회색 화면에 멈춤

문제
45,229
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
로드 중...