기술 지원
문서
로그인
문의하기
랜섬웨어 그룹, 서부시대처럼 최종 사용자를 위협하다
2023년 6월 1일 TuxCare 홍보팀
랜섬웨어 공격자들은 피해자가 그들의 요구를 충족하도록 강요하기 위해 끊임없이 혁신적인 전략을 고안하고 있습니다. 하지만 대부분의 경우 위협은 돈을 지불할 수 있는 사람, 즉 조직의 고위 경영진이나 심지어 주주를 겨냥합니다.
최종 사용자, 즉 조직의 IT를 매일 사용하는 사람들은 일반적으로 공격의 전면에 나서지 않습니다. 하지만 2023년 5월, 한 랜섬웨어 그룹이 공격 대상 조직이 돈을 지불하도록 하기 위해 긴급 방송 시스템을 사용하여 최종 사용자를 직접 위협하는 것을 처음으로 목격했습니다.
랜섬웨어 공격에 대응하는 방식에 있어 일부 피해자가 불운한 상황에 처하는 것은 도움이 되지 않습니다. 몇 주 전에 블루필드 대학교에서 어떤 일이 일어났는지 살펴봅시다.
교육 기관에 대한 공격
4월 30일, 시스템 관리자들은 약 900명의 학생을 수용하는 버지니아의 사립 대학교인 블루필드 대학교에 Avos라는 랜섬웨어 그룹이 침투한 것을 발견했습니다.
랜섬웨어 감염은 4월 말에 시작되었으며, 대학이 모든 시험을 일시적으로 연기할 정도로 심각했습니다. 당시 대학 측은 범인들이 금융 사기나 신원 도용을 시도하지 않았다고 주장했습니다. 블루필드 대학교는 다음과 같이 공격에 대해 발표했습니다:
"아시다시피, 2023년 4월 30일 일요일에 블루필드 대학교는 시스템에 영향을 미치는 사이버 보안 공격을 발견했습니다. 이 문제를 알게 된 즉시 독립적인 제3자 사이버 보안 전문가를 고용하여 검토 및 해결 노력을 지원했습니다... 현재까지 관련 정보가 금융 사기나 신원 도용에 사용되었다는 증거는 발견되지 않았습니다."
Avos는 누구인가요? 연방 수사국(FBI)은 Avos 또는 (AvosLocker)를 서비스형 랜섬웨어를 제공하는 계열사 기반 그룹으로, 미국 내 다양한 중요 인프라 부문을 특별히 표적으로 삼은 그룹으로 파악하고 있습니다. 이러한 부문에는 금융 서비스, 중요 제조 및 정부 시설이 포함되지만 이에 국한되지는 않습니다.
최종 사용자를 위협하는 행위
아마도 Avos 그룹이 단계적으로 공격했기 때문에 원하는 것을 충분히 빨리 얻지 못했을 것입니다. 대부분의 경우 위협 행위자는 랜섬웨어를 요구할 수 있는 조직의 권력자, 즉 랜섬웨어를 지불할 수 있는 사람들과 소통하는 경향이 있습니다. 이 사례에서 Avos는 어떤 이유에서인지 대학의 긴급 알림 시스템을 통해 대학 학생들을 직접 위협하기로 결정했습니다.
5월 초 월요일 정오 직전, 랜섬웨어 그룹은 SMS를 통해 중요한 메시지를 전달하는 대학의 긴급 메시징 서비스인 RamAlert를 통해 모든 학생들에게 메시지를 보냈습니다. 메시지에는 이렇게 적혀 있었습니다:
"우리는 Avoslocker 랜섬웨어입니다. 대학 네트워크를 해킹하여 1.2TB의 파일을 유출했습니다. 수천 명의 학생의 입학 데이터가 있습니다. 다크 웹 블로그에서 개인 정보가 유출될 위험이 있습니다. 대학이 공격의 심각성에 대해 거짓말을 하지 않도록 해 주세요."
Avos가 이 작업을 수행할 수 있었던 것은 RamAlert 시스템이 블루필드 대학교의 수많은 시스템 중 하나에 불과했기 때문입니다.
이는 랜섬웨어 그룹의 대담한 행동이며, 아마도 대학 관리자에게 돈을 지불하도록 압력을 가하기 위해 행해진 것으로 추정됩니다. 학생들이 어떤 느낌을 받았는지 알기는 어렵지만, 개인 데이터가 노출될 위험에 처해 있다는 사실을 본능적인 방식으로 통보받는 것은 좋은 느낌이 아니었을 것입니다.
불운한 희생자?
Avos가 학생들과 직접 소통하는 동안 대학 측의 학생들과의 소통은 다소 부족했습니다. 처음에 대학은 '신분 도용'의 증거를 발견하지 못했다고 말했지만, 학생들에게 그러한 일이 발생할 위험이 매우 크다는 사실을 경고하지 않았습니다.
3월 13일에는 당연히 이 경우 신원 도용이 우려된다는 보고서가 나왔습니다. DataBreaches.net의 보도에 따르면의 보도에 따르면, 이 대학은 악의적인 사이버 공격자가 파일에 액세스하고 파일을 확보할 수 있는 시스템의 지속적인 취약성에 대해 학생들에게 경고하지 않았습니다.
DataBreaches.net은 해킹 그룹으로부터 학비 보조금 신청자의 개인 정보가 포함된 메시지를 받았습니다. 문제의 학생은 바로 전날 사회보장번호, 생년월일, 기타 개인 정보가 포함된 버지니아 학비 지원금 신청서를 작성했으며, Avos는 이 신청서의 전체 세부 정보를 전달했습니다.
DataBreaches.net의 보고서가 정확한지 여부는 알기 어렵지만, 지난 3월에 발생한 미니애폴리스 공립학교 시스템 침해 사건에서 개인 데이터가 무상으로 공유된 것을 연상시키는 상황입니다. 당시 해커들은 생일, 주민등록번호를 포함한 개인 데이터를 공개했으며, 더 심각한 것은 민감한 정보 유출 민감한 정보가 유출되었습니다.
계속 켜고 계속 진행
이 사건은 미국 전역의 학교, 회사, 정부 기관을 대상으로 하는 랜섬웨어 공격의 큰 추세의 일부입니다. 랜섬웨어 해커들은 컴퓨터 파일을 암호화하고, 탈취한 정보를 웹사이트에 게시하고, 범죄를 홍보하는 등 다양한 방법을 사용하여 피해자를 강압하는 경우가 많습니다. 하지만 긴급 경보 시스템을 이용해 피해자를 압박한 사례는 이번이 처음인 것으로 보입니다.
이 공격의 배후에 있는 해커 그룹은 주로 러시아어를 사용하는 해커 그룹입니다, 지하 포럼에서 발견 된 정보에 따르면. 이러한 그룹은 일반적으로 미국 법 집행 기관이 직접 접근하기 어렵습니다.
이 사건은 두 가지를 보여줍니다. 랜섬웨어로부터 시스템을 보호할 수 있는 모든 방법을 동원해야 한다는 것입니다. 하지만 세계 최고 수준의 사이버 보안 태세를 갖추고 있더라도 해커는 여전히 침입할 수 있습니다. 그 다음 단계가 정말 중요합니다.
랜섬웨어 공격이 걱정되시나요, 아니면 이미 피해를 입으셨나요? 랜섬웨어 대응에 대한 가이드를 읽고 조직이 어떻게 자신 있게 대응하고 자신감 있게 대응하고 소통하는 방법을 랜섬웨어 공격이 발생했을 때 자신 있게 대응하고 명확하게 커뮤니케이션하는 방법을 알아보세요.
