Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향새로운 Pay2Key 랜섬웨어의 표적이 된 이스라엘 기업
작성일 2020-11-09 조회 114

보안 회사인 Check Point는 이스라엘 기업에 대한 표적 공격으로 보인다고 보도했다.

 

pay2key-ransomware.png

[그림 1. pay2Key 랜섬 노트]

 

이스라엘의 여러 기업들은 이스라엘 네트워크에 대한 표적 공격으로 보이는 'Pay2Key'라는 이름의 새로운 유형의 랜섬웨어에 감염돼 시스템이 암호화됐다.

 

첫 번째 공격은 10월 말에 발견됐지만 계속 증가하고 있다.

 

이스라엘의 사이버 보안 회사인 Check Point는 "날이 갈수록 보고된 랜섬웨어 공격 중 더 많은 것이 새로운 Pay2Key 랜섬웨어와 관련된 것으로 드러났다"고 밝혔다.

 

회사 측에 따르면, 공격은 일반적으로 회사 내에 IT 직원이 적은 자정 이후에 발생했다고 전했다.

 

해당 공격은 현재 보안이 취약한 RDP(원격 데스크톱 프로토콜) 서비스에서 초기 감염이 시작되었다고 추정된다.

 

회사 네트워크에 대한 접근은 '공격 발생 전 어느정도' 막은 것으로 보이지만, 랜섬웨어 공격자들이 침입을 시작하면 일반적으로 1시간 이내로 전체 네트워크로 확산되고 파일을 암호화한다.

 

Pay2Key 운영자는 공격 활동이 탐지되는 것을 방지하기 위해 로컬 네트워크에 pivot point를 설정하며, 모든 통신을 프록시하여 감지 가능한 네트워크 공간을 줄인다.

 

암호화가 끝나면 해킹된 시스템에 랜섬 노트가 남는데 Pay2Key 공격자들은 보통 7~9 비트코인(약 110K - 140K)을 요구한다.

 

Check Point에 따르면, 암호화 체계(AES, RSA 알고리즘을 사용)가 견고하기 때문에 피해자를 위한 무료 암호 해독기를 만들 수 없다고 밝혔다.

 

또한, 연구원들은 해당 랜섬웨어가 다른 알려진 랜섬웨어 변종과 겹치지 않게 개발되었으며, 이전 및 개발 단계에서 'Cobalt'로 명명된 것으로 보인다고 말했다.

 

Check Point는 올해 6월 초에 등록한 동일한 Pay2Key 이름을 사용해 키베이스 계정에 연결하여 랜섬웨어에 대해 조사해봤지만, 누가 랜섬웨어를 누가 개발했으며 왜 이스라엘 기업만 타깃으로 하고 있는지는 불분명하다.

 

[그림 2. Pay2Key 트위터]

 

 

 

출처

https://www.zdnet.com/article/israeli-companies-targeted-with-new-pay2key-ransomware/

https://research.checkpoint.com/2020/ransomware-alert-pay2key/

첨부파일 첨부파일이 없습니다.
태그 Pay2Key