Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향불법 소프트웨어 사용으로 Ryuk 랜섬웨어 공격 발생했다.
작성일 2021-05-07 조회 68

유럽 생체 분자 연구소의 학생들이 값비싼 데이터 시각화 소프트웨어를 불법으로 사용 하려다 Ryuk 랜섬웨어에 감염되버린 사건이 발생했다. Bleeping Computer는 이전부터 소프트웨어의 크랙은 불법이었을 뿐만 아니라, 악성 코드의 주된 감염 원인이었기 때문에 오랫동안 경고해 왔다.

 

공격자들은 아래 사진과 같이 일반적으로 허위 소프트웨어 크랙 사이트, 유튜브 비디오, 토렌트를 생성해 악성 프로그램을 배포하고 있다.

 


[그림1. 허위 크랙 프로그램 배포]

 

 

 

과거에도 이런 수법을 이용해 STOP, Exorcist, 암호화폐 체굴, 데이터 탈취 등 다양한 악성코드 및 랜섬웨어가 유포된 전적이 있다. 이번에 발생한 연구소 랜섬웨어 공격은 Sophos 신속 대응팀에 의해 빠르게 무력화된 상태다. 연구소는 서버를 처음부터 다시 구축했고 데이터 백업 및 복원을 진행했지만 1주일간의 연구 데이터와 네트워크 운영 중단을 겪어야만 했다.

 

공격에 대한 포렌식을 진행한 결과, Sophos는 공격자들이 초기 침입 경로가 학생의 RDP 접속 세션인 것을 발견했다. 해당 연구소는 연구와 다른 업무를 돕는 대학생들과 함께 협력하고 있는데 이들에게 연구소 네트워크로 접속할 수 있도록 RDP 로그인 계정을 제공하고 있다.

 

Sophos는 RDP원격 접속을 제공하는 학생들 대상으로 조사에 착수, 그들이 사용하는 노트북을 조사했으며 그 결과 한 학생이 기업에서 사용하는 고가의 시각화 소프트웨어의 크랙버전을 설치하려는 흔적이 발견됬다. 그러나 해당 소프트웨어의 크랙 파일 대신 키로깅, 클립보드 데이터 탈취, 류크 랜섬웨어 유포자들이 사용했던 RDP 세션과 동일한 자격 증명을 포함, infostealer 악성코드에 감염된 것을 확인했다.

 

보안 연구원들은 이번 공격이 RDP 세션을 최초로 탈취한 그룹의 소행이 아닐 것이라는 의견을 냈다. 이들은 랜섬웨어 공격자들에게 간편한 초기 침입 경로를 제공 및 판매한 것으로 보고있다. 실제로 사이버 범죄 상에서는 도난 당한 RDP 세션 및 자격 증명 같은 정보들이 3달러 가격선에서 판매되고 있다.

 


[그림2. 판매중인 RDP 세션 정보]

 

 

 

Sophos는 "불법 복제 프로그램들 내부에는 악성코드가 포함되어 있는 경우가 많다. 실제로 구글 검색 엔진으로 크랙 관련 키워드를 검색할 경우 악성코드를 유포하는 허위 사이트들이 주를 이루고 있기 때문에 주의를 요구한다." 고 조언했다.

 

출처:

 

https://www.bleepingcomputer.com/news/security/a-student-pirating-software-led-to-a-full-blown-ryuk-ransomware-attack/

첨부파일 첨부파일이 없습니다.
태그 Ryuk