|
하데스 랜섬웨어에 공격당한 Forward Air 침해사고분석팀 2020.12.22 |
|
|
운송 및 화물 물류 회사인 Forward Air는 새로운 랜섬웨어 조직에 의해 공격받았다.
Forward Air는 미국 테네시주에 본사를 둔 대표적인 트럭 및 항공 화물 물류 회사로, 2019년 14억 달러의 매출을 올렸으며, 4300명 이상의 직원을 고용하고 있는 회사이다.
지난 주, Forward Air사는 사이버 공격을 당했고, 이로 인한 공격 확산을 막기 위해 시스템을 오프라인으로 전환해야 했는데, 세관에서 화물을 출고하는 데 필요한 서류 작업이 오프라인으로 전환된 시스템에 저장되어 있어 사용이 불가능하여 이번 공격으로 인해 비즈니스에 차질이 빚어졌다고 한다.
[그림 1. Forward Air 공식 홈페이지]
Forward Air를 공격한 조직은 하데스라고 알려진 새로운 랜섬웨어 작전인 것으로 알려졌다.
하데스 랜섬웨어 조직은 약 일주일 전부터 기업에 대한 인신공격으로 피해자들을 공격하기 시작했다.
하데스 랜섬웨어에 감염된 PC는 HOT-TO-DECRYPT-[확장자].txt 라는 이름의 랜섬 노트를 확인할 수 있다.
[그림 2. 하데스 랜섬웨어의 랜섬노트]
랜섬 메모에 포함된 내용은 각 피해자별 고유한 토르 사이트 URL이다. 이 URL은 공격에 대한 정보와 공격자에게 연락하는 데 사용할 수 있는 Tox 메신저 주소를 포함하는 Tor 사이트로 이동한다.
[그림 3. 하데스 토르 사이트]
하데스 랜섬웨어 조직은 공격 중 얻게된 파일들을 공개하는데 사용하기 위한 트위터 계정을 공유하였으며, 파일 복구에 필요한 금액이나 랜섬웨어 샘플은 아직 알려지지 않았다.
출처 |
