2020년 8월 최초로 발견된 DarkSide 랜섬웨어는 동유럽 및 러시아 기반의 해킹 그룹이 사용하는 랜섬웨어로서,

해킹 그룹은 데이터 탈취 후 DarkSide 랜섬웨어 감염을 통해 데이터를 암호화한다. 이후 탈취한 데이터에 대한 유출 중단과 암호화한 데이터의 복호화를 빌미로 이중 지불을 하도록 유도한다.

실제로 해킹 그룹은 지난 2021년 5월 7일 미국 동부 해안 연료 공급의 거의 절반을 담당하는 회사인 Colonial Pipeline에 DarkSide 랜섬웨어를 감염시켰다.

이에 대한 여파로 미국 정부는 사고의 영향을 받은 18개 주에 비상 사태를 발표하였으며,

결국 Colonial Pipeline은 몸값으로 500만 달러 (당시 약 56억 4000만원)의 비트코인을 지불하였다.

이후 Toshiba의 프랑스 사업부 또한 DarkSide 랜섬웨어에 감염되었고, 740GB 이상의 데이터를 탈취당했다.

해커 집단은 탈취한 데이터를 인질로 삼아, 일정 시간 내 비트코인을 지불하지 않으면 탈취한 기밀 데이터를 공개하겠다는 협박을 이어가고 있다.

소만사는 지난 2021년 5월 7일 Colonial Pipeline 공격에 사용된, DarkSide 랜섬웨어와 동일한 버전의 변종 샘플을 확보하였다.

이번에 확보한 DarkSide 랜섬웨어 샘플은 PECompact / VMProtect Packer를 이중으로 사용하여

내부 코드 난독화 및 압축을 통해 Anti-Virus 및 EDR 제품의 신속한 분석 및 대응을 어렵게 하였으며,

PowerShell을 통한 난독화된 스크립트 실행으로 볼륨 쉐도우 복사본 삭제를 수행하여 감염 후 대상 PC를 감염 이전으로 복구할 수 없도록 하였다.

소만사는 본 보고서를 통해 DarkSide 랜섬웨어를 분석하여 그 행위와 대응방안을 제공하며,

DarkSide 랜섬웨어 감염에 대해 사전에 예방 및 차단할 수 있도록 본 보고서에 상세한 내용을 서술하였다.