|
Ragnar Locker 랜섬웨어 공격 당한 메모리 업체, ADATA 침해사고분석팀 2021.06.09 |
|
|
대만에 본사를 둔 ADATA사는 고성능 DRAM, NAND 플래시 메모리 카드 및 모바일 액세서리, 게임, 전기 열차, 산업 솔루션 제품들을 개발하는 제조업체다. 이 회사는 2018년에 DRAM 메모리 및 SSD 제조업체들 중 두번째로 규모가 큰 회사로 지정되기도 했다. 하지만 5월 말, 이 회사에 랜섬웨어 공격으로 인해 네트워크 시스템이 마비된 상태에 이르렀다.
회사 측은 공격을 감지 한 후, 영향을 받는 모든 시스템을 중단하고 공격자를 추적하기 위해 관련되어 있는 모든 당국에 이 사건을 알리는 등 발생한 공격에 대해 신속히 대응했다. 그 결과, ADATA의 메모리 제조업체에 따르면 현재 ADATA의 비즈니스 운영은 더 이상 중단되지 않으며, 공격을 받은 장치는 회복이 이뤄졌다고 말했다. 뿐만 아니라 ADATA 측은 IT 보안 시스템을 복구하고 성능을 향상시키기 위해 노력하고 있다고 말했다.
ADATA측은 누가 공격했는지와 공격자가 어떤 요구 조건을 제시했는가에 관해서는 정보를 제공하지 않았다. 하지만, 그 공격은 Ragnar Locker 랜섬웨어 조직에 의해 수행된 것으로 추정하고 있다. Ragnar Locker 조직은 랜섬웨어 공격 코드를 배포하기 전에 ADATA 1.5TB 양의 민감한 데이터를 훔친 것으로 알려졌다.
[그림 1. 몸값을 요구하고 있는 Ragnar Locker ]
지금까지 랜섬웨어 조직은 자신의 주장을 증명하기 위해 도난당한 파일과 폴더의 스크린 샷만 게시한 반면, 이번 공격 그룹은 메모리 제조업체가 몸값을 지불하지 않으면 나머지 데이터를 유출하겠다고 위협하고 있다. Ragnar Locker가 다크 웹 유출 사이트에 게시한 글에 의하면 공격자는 독점 비즈니스 정보, 기밀 파일, 회로도, 재무 데이터, Gitlab 및 SYN 소스 코드, 법률 문서, 직원 정보 등 다양한 민감 데이터를 유출할 수 있다고 한다.
Ragnar Locker 랜섬웨어는 2019년 12월 말에 여러 대상에게 배포된 것으로 처음 관찰되었다. 이 랜섬웨어에 의해 감염 엔드포인트에서 Ragnar Locker 운영자는 서비스 공급자가 클라이언트의 시스템을 원격으로 관리하는 원격 관리 소프트웨어(e.g ConnectWise나 Kaseya)를 종료한다. 이를 통해 공격자는 탐지를 회피하고 로그인 한 관리자가 공격 코드 배포 프로세스를 차단하지 않도록 할 수 있다.
FBI는 다국적 에너지 기업 EDP의 네트워크에 영향을 준 2020년 4월 공격 이후 Ragnar Locker 랜섬웨어 활동이 증가했다고 말했다.
출처 https://www.bleepingcomputer.com/news/security/computer-memory-maker-adata-hit-by-ragnar-locker-ransomware/ |
