Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향범아시아 대형 유통 업체 Dairy Farm, REvil 랜섬웨어 공격을 받아
작성일 2021-01-27 조회 28

낙농장

 

 

대규모 범아시아 유통 업체인 Dairy Farm 그룹은 이번 달에 REvil 랜섬웨어 공격을 받았다. 공격자들은 3천만 달러의 몸값을 요구했다고 주장한다.

 

Dairy Farm 그룹은 아시아 전역에 걸쳐 1만개가 넘는 점포와 230,000명의 직원을 두고 있다.

 

이 그룹은 Wellcome, Giant, Cold Storage, Hero, 7-Eleven, Rose Pharmacy, GNC, Mannings, Ikea, Maxims 등 아시아 시장에서 수많은 식료품, 편의점, 건강 및 미용, 홈퍼니싱, 레스토랑 브랜드를 운영하고 있다.

 


Dairy Farm REvil 랜섬웨어 공격

 

이번 주 BleepingComputer는 2021년 1월 14일경 REvil 랜섬웨어 위협 행위자로부터 Dairy Farm 그룹의 네트워크와 암호화된 장치를 훼손했다고 밝힌 연락을 받았다.

 

BleepingComputer는 몸값 요구액이 3천만 달러라고 들었으며 따로 확인하지는 않았다.

 

위협 행위자는 Dairy Farm 네트워크에 접근할 수 있다는 것을 증명하기 위해 Active Directory 사용자 및 컴퓨터 MMC의 스크린샷을 공유했다.

 

 

Dairy Farm Windows 도메인의 유출 된 스크린 샷

[그림1. Dairy Farm Windows 도메인의 유출된 스크린 샷]

 

 

공격자는 피싱 공격에 사용될 것이라고 밝힌 Dairy Farm의 기업 이메일에 대한 모든 권한을 포함하여 공격 후 7 일 후에도 여전히 네트워크에 액세스 할 수 있다고 주장한다.

 

공격자는 "비즈니스가 중단될 것이기 때문에 네트워크를 종료할 수 없다. 여전히 이 회사를 공격하고 있는 악의적인 파트너 그룹이 있으며 그곳에는 30,000개 이상의 호스트가 있다"고 위협했다.

 

Dairy Farm은 이번 달 사이버 공격을 당한 것을 확인했지만 전체 회사 기기의 2%도 안 된다고 밝혔다.

 

"우리는 비즈니스 서버의 2%에도 미치지 못하는 영향을 미친 사건을 확인했다. 오프라인으로 전환되어 격리되었다. 추가적인 예방 조치로 외부 보안 전문가의 지원을 받아 전면적이고 철저한 조사에 착수했고, 추가적인 보안 대책을 도입했으며, 모니터링 시스템을 더욱 강화했다."

 

BleepingComputer에서 본 스크린샷은 공격자가 공격 후에도 이메일과 컴퓨터에 계속 액세스할 수 있다는 것을 보여주지만, 회사 측은 공격 중에 데이터가 도난당한 사실을 알지 못했다고 밝혔다.

 

예를 들어, 아래는 공격자가 유출한 사이버 공격에 대한 내부 Dairy Farm 이메일이다.

 

 

랜섬웨어 공격에 대한 내부 이메일

[그림2. 랜섬웨어 공격에 대한 내부 이메일]

 

 

REvil은 공격 중에 데이터를 훔친 다음 몸값을 지불하지 않으면 공개하겠다고 위협하는 것으로 알려져 있기 때문에, 데이터가 나중에 유출되었다는 사실을 발견하는 것은 놀라운 일이 아니다.

 

크리스마스 연휴 이후 랜섬웨어 조직은 대규모 공격으로부터 휴식을 취하고 있는 것으로 보인다.

 

하지만 휴식은 이제 끝났고, Dairy Farm 공격과 크레인 제조업체인 Palfinger에 대한 지속적인 글로벌 사이버 공격에서 볼 수 있듯이, 대기업 공격은 다시 증가하고 있다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/pan-asian-retail-giant-dairy-farm-suffers-revil-ransomware-attack/

첨부파일 첨부파일이 없습니다.
태그 REvil 랜섬웨어  Dairy Farm