|
전 세계 기업을 대상으로 하는 Prometheus 랜섬웨어 출현 침해사고분석팀 2021.06.11 |
|
|
세계 여러 기업을 대상으로 한 새로운 랜섬웨어가 발견됬다. 공격자들은 이번 공격을 통해 4개월 동안 30개의 조직 및 기업에 침투를 성공했다고 주장했다. 2021년 2월 처음으로 발견된 "Prometheus" 랜섬웨어는 는 앞서 지난해 중동과 북아프리카의 공공기관을 대상으로 한 유명 랜섬웨어 "Thanos" 의 변종인 것으로 확인됬다. 보안회사인 Palo Alto에 따르면 영향을 받은 기업은 정부, 금융 서비스, 컨설팅, 농업, 의료 서비스, 보험 기관 등 수십 개 이상의 국가들로 추측하고 있다.
Prometheus는 다른 랜섬웨어 운영자들과 마찬가지로 이중협박 전술을 이용하고 있으며 딥웹에서 유출 사이트를 운영하고 있다. 사이트에는 피해자의 이름과 도난한 데이터를 구입할 수 있도록 서비스를 제공하고 있다.
보안 연구원들은 "Prometheus는 전문 기업들처럼 운영되고 있다. 피해자들을 고객으로 지칭하고 몸값 지불 마감일이 다가오면 경고성 메시지를 알리는 카운트 다운을 시작한다. 현재 피해를 입은 기업 30곳 중, 4개의 기업만이 몸값을 지불한 것으로 보고있다." 고 언급했다.
Prometheus 랜섬웨어 운영자들은 Thanos와 많이 연관되었음에도 불구하고 자신들이 가장 악명높은 REVIL 운영 그룹이라고 주장하고 있는데 이는 Thanos 단체인 것을 숨기려고 하거나 피해자들에게 보다 쉽게 몸값을 받아내기 위한 전략일 수 있다고 연구원들은 추측하고 있다.
랜섬웨어의 침입 경로는 아직 불분명하지만, 이 단체는 초기 접근 벡터를 얻기 위해 대상 네트워크에 대한 접근 크레덴셜 정보를 구입하거나 피싱 및 BruteForce 공격을 수행하는것으로 보고있다. Prometheus는 피해자들에게 각각의 고유한 페이로드를 생성하며 파일의 복호화를 위해서는 약 6~10만 달러를 지불해야한다. 만약 지정된 기간 내에 지불하지 않을 경우, 기존 몸값의 2배를 올려 협박하는 구조다.
최근, 사이버 범죄 집단이 기업 네트워크를 침투하고 랜섬웨어를 배포해 피해를 입은 기업이 많아지고 있는데 보안 회사인 CrowdStrike에 따르면 "SonicWALL SRA 4600 VPN 제품의 취약점(CVE-2019-7481)을 활용해 랜섬웨어 공격을 위한 초기 엑세스 벡터로 악용되고 있다. 따라서 취약점 관련 업데이트가 배포될 경우 지체하지 말고 받는것이 좋다." 고 조언했다.
출처
https://thehackernews.com/2021/06/emerging-ransomware-targets-dozens-of.html |
