기술 지원
문서
로그인
문의하기
CISA, FBI, 비앙리안 랜섬웨어 그룹에 대한 권고 발표
2023년 5월 31일 TuxCare 홍보팀
미국과 호주 정부, 사이버보안 및 인프라 보안국(CISA), FBI, 호주 사이버 보안 센터(ACSC)는 #Stop랜섬웨어 캠페인의 일환으로 비앙리안 랜섬웨어가 금품 갈취 전용 공격으로 전환했다는 사이버 보안 경보를 발령했습니다.
비안리안은 2022년 6월부터 미국과 호주의 주요 인프라 기업을 표적으로 삼고 있습니다. 이들은 합법적인 원격 데스크톱 프로토콜(RDP) 자격 증명과 오픈 소스 자격 증명 수집 도구를 사용하여 컴퓨터에 무단으로 액세스합니다. 2023년에는 피해자가 몸값 요구에 응하지 않을 경우 재정적, 법적, 운영상의 피해를 입히려는 의도로 비안리안의 수법이 더욱 위협적으로 변했습니다.
올해 초, 비안롄의 다크 웹사이트는 118개의 이전 표적 목록을 공개했는데, 의료 업계가 가장 빈번한 피해자였습니다. 공격 대상의 대부분(71%)이 미국에 있었고, 영국 11%, 호주 7%가 그 뒤를 이었습니다.
비안리안 그룹은 피해자의 데이터를 인질로 잡고 몸값을 지불하지 않으면 데이터를 공개하겠다고 협박하는 방식으로 갈취를 일삼습니다. 이전에는 시스템을 암호화하고 민감한 데이터를 훔치는 이중 갈취 방식을 사용했습니다. 하지만 2023년 1월경부터 이들은 유출 기반 강탈로 초점을 전환했습니다.
이 권고문은 비앙리안의 배후에 있는 위협 행위자들이 백신 도구를 비활성화하고 탐지를 피하기 위해 일반적으로 PowerShell과 Windows 명령 셸을 사용한다고 강조합니다. 일단 손상된 네트워크에 액세스하면 PowerShell 스크립트를 사용하여 중요한 파일을 검색하고 훔칩니다. 이러한 위험을 완화하려면 원격 데스크톱 프로토콜(RDP) 및 기타 원격 데스크톱 서비스의 사용을 제한하는 것이 좋습니다. 조직은 엄격한 보안 조치를 구현하고 중요한 시스템에서 PowerShell을 포함한 명령줄 및 스크립팅 활동을 제한해야 합니다. PowerShell을 최신 버전으로 업데이트하고 향상된 로깅을 활성화하여 가시성을 개선하는 것도 중요한 조치입니다.
또한 네트워크 내에서 원격 액세스 도구와 소프트웨어의 실행을 모니터링하고 제어하기 위한 감사를 실시할 것을 권고합니다. 강력한 보안 조치를 구현하고 RDP와 같은 원격 데스크톱 서비스 사용을 제한하는 것이 필수적입니다. 관리 계정에 대한 정기적인 감사와 최소 권한 원칙을 준수하는 것도 보안을 강화하기 위한 중요한 단계입니다.
이 글의 출처는 BleepingComputer의 기사입니다.
