Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Steelcase 가구점 랜섬웨어 공격 후, 큰 피해 받아
작성일 2020-11-13 조회 40

사무용 가구 전문점인 Steelcase는 Ryuk 랜섬웨어 공격으로 약 2주 동안 글로벌 영업을 중단하게 되었지만 어떠한 정보도 도난당하지 않았다고 말했다.

 

Steelcase는 세계 최대의 사무용 가구 제조업체로, 직원 수가 13,000명에 육박하고, 800개 딜러의 네트워크로, 2020년에는 37억 달러의 수익을 올렸다.

 

10월 27일 Steelcase는 증권 거래위원회(SEC)에 제출한 자료에서 자사 네트워크가 10월 22일에 사이버 공격을 받았다고 발표했다.이 공격으로 인해 영향을 받은 모든 시스템 및 운영을 2주 간 중단해야 했다.

 

 

손상된 시스템에서 도난당한 데이터 없음

 

Steelcase는 11월 12일부터 정상 운영을 재개했으며 운영 중단으로 지연된 모든 주문을 배송하여 정상적인 운영으로 돌아가기 위한 작업을 진행 중이라고 밝혔다.

 

Steelcase는 또한 법의학 조사를 통해 고객 및 직원 데이터를 도난당하지 않았음을 확인했다고 전했다.

 

Steelcase는 SEC에 제출한 자료에서 해당 공격이 랜섬웨어라고 밝히진 않았지만, BleepingComputer는 사이버 보안 업계의 한 소식통으로부터 Ryuk 랜섬웨어와 관련이 있다는 정보를 입수했다.

 

 

Ryuk 랜섬 노트

[그림1. Ryuk 랜섬 노트]

 

 

Steelcase는 11월 12일부터 정상 운영을 재개했으며 운영 중단으로 지연된 모든 주문을 배송하여 정상적인 운영으로 돌아가기 위한 작업을 진행 중이라고 밝혔다.
 
Steelcase는 또한 법의학 조사를 통해 고객 및 직원 데이터를 도난당하지 않았음을 확인했다고 전했다.
 
Steelcase는 SEC에 제출한 자료에서 해당 공격이 랜섬웨어라고 밝히진 않았지만, BleepingComputer는 사이버 보안 업계의 한 소식통으로부터 Ryuk 랜섬웨어와 관련이 있다는 정보를 입수했다.
 
Ryuk가 Steelcase의 네트워크에 어떻게 침투했는지에 대한 정보는 없지만, 해당 랜섬웨어의 피해자인 Sopra Steria와 Universal Health Services의 공격 방식을 참고했을 때, BazarLoader나 TrickBot이 제공한 액세스를 사용하여 Steelcase의 네트워크에 랜섬웨어 페이로드(payload)를 배치했을 가능성이 크다.
 
 
BazarBackdoor attack flow
[그림2. BazarBackdoor 공격 흐름]
 
 
일단 Ryuk 공격자들이 네트워크 액세스와 관리자 자격 증명을 얻으면, 정찰 단계를 거쳐 PSExec 또는 PowerShell Empire를 사용해 수동으로 네트워크 장치에 페이로드들을 배포한다.
 
 
 
출처
https://www.bleepingcomputer.com/news/security/steelcase-furniture-giant-down-for-2-weeks-after-ransomware-attack/
https://www.bleepingcomputer.com/news/security/steelcase-furniture-giant-hit-by-ryuk-ransomware-attack/
첨부파일 첨부파일이 없습니다.
태그 Steelcase  Ryuk  랜섬웨어