Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Conti 랜섬웨어, 아일랜드 보건부도 공격
작성일 2021-05-18 조회 89

최근 아일랜드의 의료 시스템인 HSE (Health Service Executive)가 Conti 랜섬웨어에 의해 시스템이 종료된 일이 있었다. Conti 랜섬웨어 조직은 HSE에 침입한 2주 동안 700GB 가량의 데이터를 탈취하였고 이를 빌미로 2백만 달러를 요구했다.

 

HSE에 랜섬웨어 공격이 있던 날에 아일랜드 보건부 또한 공격이 있었던 것으로 밝혀졌다. 아일랜드 보건부의 시스템을 암호화하고 Cobalt Strike beacon을 이용하여 악성 코드를 배포하려는 시도가 있었던 것이다. 현재 이러한 공격은 아일랜드 보건부의 시스템을 암호화하는데 실패한 것으로 나타났다.

 

보건부를 향한 공격 패턴은 HSE에 있었던 Conti 랜섬웨어 공격 패턴과 유사했다. 영국의 국제 사이버 보안 센터 NCSC는 HSE에서 발생한 공격과 매우 유사한 공격이 보건부에서 일어났다고 말했다. NCSC 제공하는 HSE 랜섬웨어 공격 관련 문서를 보면 HSE를 표적으로 공격에 사용한 기술적인 부분들이 아일랜드 보건부에서 나타난 공격과 매우 유사한 형태임을 보여준다. 추가로 이번 공격에 사용된 랜섬웨어는 암호화된 파일에 [.]FEEDC 확장자를 추가하는 것으로 알려졌다.

 

 

Conti HSE ransom note

 

[그림 1. Conti HSE 랜섬 노트]

 

 

현재 보건부는 IT 시스템의 일부 기능들을 공격을 예방하는 차원에서 일시적으로 중단하는 등 대응 계획을 시행했다.

 

Conti 조직은 HSE를 공격해 직원 및 환자 정보, 재무제표, 급여, 계약서 등을 포함한 데이터를 탈취했다고 밝혔으며 몸값으로 2백만 달러를 HSE에 요구했다. 하지만 아일랜드 총리 Taoiseach Micheál Martin는 HSE가 몸값을 지불하지 않을 것이라고 말했다.

 

 

 

[그림 2. Conti 랜섬웨어의 요구]

 

 

Conti 랜섬웨어는 Wizard Spider로 알려진 러시아 기반 사이버 범죄 그룹이 운영하는 RaaS (Ransomware-as-a-Service) 작업으로 알려졌다. Ryuk 랜섬웨어와 코드를 공유하고 있고 Ryuk 랜섬웨어에서 사용하는 TrickBot 기반 채널을 인수하여 사용한다. Conti 랜섬웨어는 이전에도 SEPA (Scottish Environment Protection Agency)를 공격하여 1.2GB의 데이터를 탈취한 것으로 알려졌다.

 

 

 

출처 

https://www.bleepingcomputer.com/news/security/conti-ransomware-also-targeted-irelands-department-of-health/

https://www.ncsc.gov.ie/pdfs/HSE_Conti_140521_UPDATE.pdf

첨부파일 첨부파일이 없습니다.
태그 Conti