포스팅 내용

국내외 보안동향

SAMSAM 랜섬웨어, 전체 회사를 타겟으로 하는 전략 사용하도록 진화해

SAMSAM RANSOMWARE EVOLVES ITS TACTICS TOWARDS TARGETING WHOLE COMPANIES


SamSam 랜섬웨어의 최신 버전이 전체 회사를 타겟으로 하는 공격으로 스팸 캠페인의 영역을 넓혔습니다.


보안업체 분석에 따르면, SamSam 운영자들은 이전에 사용하던 전략과는 반대로 수 천개의 랜섬웨어 복사본을 개별 조직에 한번에 보내며, 이들 각각을 매우 신중하게 선정했습니다.


SamSam은 회사 전체를 감염시키기 위해 피싱과 스팸 보다는 다양한 취약점을 악용해 피해자 회사의 네트워크에 접근 권한을 얻습니다. 이는 RDP 패스워드를 브루트포싱하는 것으로 나타났습니다.


내부망에 접근할 발판을 마련한 후, SamSam은 이미 알려진 대로 네트워크 매핑을 통해 추가 피해자를 찾고 크리덴셜을 훔칩니다. 


잠재적 타겟이 발견 되면, 공격자들은 PSEXEC과 같은 툴 들과 배치 스크립트를 통해 수동으로 SamSam을 선택 된 시스템에 배치합니다.


공격자들은 비즈니스 전략에도 변화를 주었습니다. 그들은 기업에 침투해 악성코드를 여기저기 배치한 후 모든 기기를 치료할 경우 “대량 할인”을 제공합니다.


보안업체의 테스트에서 확인 결과, 테스트 당시 이 대량 할인은 비트코인의 현재 가치로 환산했을 때 약 $45,000 상당으로 확인되었습니다. 


피해자는 대량 할인을 선택하지 않더라도 호스트 별로 요금을 지불할 수 있으며, 복구하고 싶은 호스트의 이름을 공격자에게 보내면 됩니다.


Talos는 지난 1월 SamSam 랜섬웨어의 비즈니스에 대해 조사해본 결과, SamSam 랜섬웨어와 관련 된 비트코인 지갑에 30.4 BTC가 있었다고 밝혔습니다. 1월 중순부터 사용한 두 번째 주소는 4월 현재 23건의 지불을 받았다고 밝혔습니다. 


이 둘을 합하면, 범죄자들은 현재까지 68.1 비트코인을 벌어들였으며 이는 현재 기준으로 약 $632,199에 이릅니다.


좋은 소식은 패치 적용, 네트워크 분리, 백업, 권한이 있는 계정에 대한 접근 정책을 만드는 등의 기본적인 보안 조치가 Samsam 랜섬웨어를 막는데 모두 도움이 된다는 사실입니다.


최근 SamSam에 피해를 입은 아틀란타 시는 장비들과 데이터를 되찾기 위해 보안 회사와 컨설턴트들에 270만 달러를 지불했습니다. 


SamSam 측은 컴퓨터 한대 당 $6,800의 비용을 요구했으며, 이는 총 $51,000 정도였으나 아틀란타시는 지불을 거부했습니다. 


하지만 보고에 따르면, 일부 시스템은 아직까지도 접근이 불가능 한 것으로 밝혀졌습니다. .




출처 :

https://threatpost.com/samsam-ransomware-evolves-its-tactics-towards-targeting-whole-companies/131519/

https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/samsam-ransomware-chooses-its-targets-carefully-wpna.aspx

티스토리 방명록 작성
name password homepage