기술 지원
문서
로그인
문의하기
FBI, CISA 및 HHS, 로열 랜섬웨어 조직 공격 경고
2023년 3월 14일 TuxCare 홍보팀
FBI와 사이버 보안 및 인프라 보안국(CISA)은 로열 랜섬웨어로 알려진 새로운 랜섬웨어 그룹에 대한 경고를 발표했습니다. 랜섬웨어는 피해자의 컴퓨터 파일을 암호화하고 잠금을 해제하기 위해 금전을 요구하는 악성 소프트웨어의 일종입니다. Royal 랜섬웨어도 비슷한 방식으로 작동합니다.
이 경고는 이전에 보건복지부에서 인간이 운영하는 랜섬웨어 공격이 의료 부문을 집중적으로 표적으로 삼고 있으며, 3개월 동안 공격 비율과 최대 200만 달러의 몸값 요구가 증가했다고 경고한 데 따른 것입니다.
랜섬웨어로 컴퓨터를 감염시키기 위해 공격자는 스피어 피싱 이메일을 보내거나 피해자의 시스템 취약점을 악용합니다. 시스템을 감염시킨 후 파일을 암호화하여 액세스할 수 없게 만듭니다.
그런 다음 공격자는 다시 액세스할 수 있는 암호 해독 키를 받는 대가로 금전을 요구합니다. 가장 최근의 비트코인 요구 금액은 약 100만 달러에서 1,100만 달러까지 다양했습니다. 그러나 왕실 위협 행위자들은 초기 랜섬노트에 몸값을 포함시키지 않습니다. 대신 피해자는 a.onion URL을 통해 공격자와 상호작용해야 합니다.
로열은 100만 달러에서 1,100만 달러에 이르는 비트코인 몸값을 요구했습니다. 그러나 경고에 따르면 이 그룹은 초기 랜섬노트에 몸값 금액과 지불 지침을 포함하지 않았습니다. 대신, 몸값 메모는 피해자에게 암호화된 토르 브라우저를 통해 액세스할 수 있는 보안 URL을 통해 로열 멤버에게 직접 연락하라고 지시합니다.
FBI와 CISA에 따르면 Royal은 의료 서비스 제공업체를 넘어 제조, 교육, 통신 업계까지 추가 공격 대상으로 의심되는 등 조직을 강화하고 범위를 넓히고 있습니다. 작년 9월부터 사이버 범죄자들은 미국 전역의 조직에 침투하기 위해 Royal 랜섬웨어 변종을 사용해 왔으며, 그 중 상당수가 의료 서비스 제공업체입니다.
로얄 전술은 다른 유형의 랜섬웨어와 유사합니다. 랜섬웨어를 배포하기 전에 공격자는 바이러스 백신 소프트웨어를 비활성화하고 네트워크에서 대량의 데이터를 유출합니다. 데이터는 "코발트 스트라이크와 같은 합법적인 사이버 펜 테스트 도구와 우르스니프/고지와 같은 멀웨어 도구 및 파생물을 재활용하여" 탈취됩니다.
로열 멤버들은 조직의 네트워크에 액세스한 후 바이러스 백신 소프트웨어를 비활성화합니다. FBI와 CISA에 따르면, 사이버 범죄자들은 랜섬웨어를 배포하고 피해자의 시스템을 암호화하기 전에 "대량의 데이터를 유출"합니다. 대부분의 공격은 악성 PDF 문서가 포함된 피싱 이메일을 주요 액세스 방법으로 사용합니다. 원격 데스크톱 프로토콜(RDP) 손상은 두 번째로 흔한 공격 벡터이며, 그다음으로 공개 애플리케이션을 악용하고 브로커를 사용하여 초기 액세스 권한을 얻고 트래픽을 소싱하여 가상 사설 네트워크(VPN) 자격 증명을 수집합니다.
일단 액세스 권한을 획득한 로열 멤버들은 용도가 변경된 합법적인 Windows 소프트웨어를 사용하여 네트워크 존재감을 강화합니다. 연구원들은 또한 이 그룹이 터널링 도구인 Chisel과 같은 오픈 소스 프로젝트를 사용하여 침입 활동을 지원하는 것을 관찰했습니다.
이 글의 출처는 SCMagazine의 기사입니다.
