칠레의 윈도우 및 Linux 서버를 강타하는 새로운 랜섬웨어

8월 25일(목)에 시작된 랜섬웨어 공격은 칠레 정부 기관에서 운영하는 Windows 및 Linux 시스템에 영향을 미쳤으며, 칠레 컴퓨터 보안 및 사고 대응팀(CSIRT)이 이 사건을 확인했습니다.

칠레 CSIRT에 따르면 해커는 실행 중인 모든 가상 머신을 중지하고 파일을 암호화하면서 파일 이름 확장자를 ".crypt"로 추가했습니다. 이 악성 코드는 웹 브라우저에서 자격 증명, 암호화를 위해 분리 가능한 장치 목록, 실행 시간 제한을 통해 바이러스 백신 탐지를 회피하는 등 다양한 유형의 악성 활동을 위한 기능을 가지고 있다고 당국은 설명했습니다.

이 랜섬웨어 공격은 이중 갈취 공격입니다. 공격자는 몸값 지불을 협상할 수 있는 통신 채널을 칠레 CSIRT에 제공했습니다. 이렇게 하면 공격자가 파일 유출을 막고 암호화된 데이터를 잠금 해제하는 데 도움이 됩니다.

공격자들은 3일이라는 기한을 정하고 다크웹의 다른 사이버 범죄자들에게 탈취한 데이터를 판매하겠다고 협박했습니다. 칠레 CSIRT는 공격의 배후를 밝히지 않았지만, 암호화된 파일에 첨부된 확장자를 통해 멀웨어가 'RedAlert' 랜섬웨어를 가리키는 것으로 나타났습니다. RedAlert 랜섬웨어는 Windows 서버와 Linux-VMWare ESXi 머신을 모두 대상으로 하는 공격에서 '.encrpt' 확장자를 사용했습니다.

칠레의 위협 분석가인 게르만 페르난데스는 멀웨어를 분석하면서 이 변종은 완전히 새로운 것으로 보이며, 함께 멀웨어를 분석한 연구원들은 이 변종을 알려진 계열과 연결할 수 없다고 말했습니다.

페르난데스는 "이 공격의 한 가지 특별한 점은 위협 행위자가 랜섬웨어를 배포하기 전 단계에서 랜섬 노트를 최종 페이로드로 배포했다는 점인데, 이는 회피 문제나 최종 샘플을 공유할 때 연락처 정보가 유출되는 것을 피하기 위한 것일 수 있습니다."라고 말했습니다.

칠레의 사이버 보안 기관은 추가 공격으로부터 보호하기 위해 모든 정부 기관과 대규모 민간 조직에 여러 가지 보안 조치를 권장합니다. 여기에는 적절하게 구성된 방화벽 및 바이러스 백신 도구 사용, VMware 및 Microsoft 자산 업데이트, 주요 데이터 보안, 스팸 방지 필터 구성 확인, 네트워크 세분화 구현, 새로운 취약성 패치 및 완화 등이 포함됩니다.

이 글의 출처는 BleepingComputer의 기사입니다.