샌프란시스코 메트로 시스템이 랜섬웨어에 감염... 승객들 무료 탑승

샌프란시스코 메트로 시스템이 랜섬웨어에 감염... 승객들 무료 탑승

San Francisco Metro System Hacked with Ransomware; Resulting in Free Rides

지난 금요일, 샌프란시스코 대중 교통 기관의 컴퓨터 2,000대 이상이 해킹된 것으로 보입니다. 샌프란시스코의 지방 교통 기관인 MUNI의 역 결제 시스템 및 스케쥴 모니터가 랜섬웨어에 해킹되어, 도시 전체의 역 스크린들이 아래의 메시지를 표시했습니다.

“당신은 해킹됐다. 모든 데이터는 암호화되었다. 키를 얻으려면 Cryptom27@yandex.com으로 연락바란다. ID:681, Enter.”

이 때문에 MUNI는 11월 26일, 승객들에게 무료 탑승을 제공했습니다.

샌프란시스코 조사관에 따르면, MUNI는 역의 요금 시스템이 티켓 판매기를 다운시키는 랜섬웨어에 감염된 것을 인정했습니다. MUNI의 대변인인 Paul Rose는 MUNI가 이 사건에 대해 조사하고 있으며, 상황을 해결하기 위해 노력하고 있다고 밝혔습니다. 그러나 해킹 사건에 관한 자세한 정보는 공개하지 않았습니다.

랜섬웨어로부터 시스템을 복구시키기 위해 $73,000 요구해

이미지 출처 : http://thehackernews.com/2016/11/transit-system-hacked.html

MUNI는 전철 자체는 악성코드 공격에 영향을 받지 않았으며, 11월 27일부터 다시 정상적으로 요금을 부과했다고 밝혔습니다. MUNI는 샌프란시스코의 상징 케이블카를 포함한 도시 전체의 기차, 전차, 버스를 담당하고 있습니다.

관련하여 누가 이 공격을 실행했는지는 아직 밝혀지지 않았습니다. (필명이 “Andy Saolis”라는 것 제외) 지역 언론에 의하면 MUNI의 컴퓨터가 랜섬웨어에 감염되었고, 랜섬머니는 비트코인으로 $73,000 이상인 것으로 밝혀졌습니다.

Andy Saolis는 HDDCryptor 랜섬웨어 공격에 흔히 사용되는 필명입니다. HDDCryptor 랜섬웨어는 상용 툴과 랜덤하게 생성된 키로 하드 드라이브와 윈도우의 네트워크 공유 폴더를 암호화하고, 하드 디스크의 MBR을 덮어쓰기 하여 시스템을 정상적으로 부팅하지 못하게 합니다.

타겟 머신은 일반적으로 이메일에 첨부된 악성 실행 파일을 다운로드하여 실수로 설치하는 방식으로 감염됩니다. 해당 악성코드는 네트워크를 통해 퍼져나갈 수 있습니다.

익명의 범죄자가 사용한 cryptom27@yandex.com는 러시아의 이메일 주소로 보이며, 다른 사이버 공격에도 관련되어 있는 것으로 나타났습니다. 이와 동일한 이메일 주소가 지난 9월 발견된 랜섬웨어 변종인 Mamba와도 연관되어 있었습니다. 이 랜섬웨어는 MUNI 시스템을 공격한 것과 동일한 전략을 사용하고 있습니다.

공격자는 Hoodline에 그가 MUNI 네트워크에서 감염시켰다고 주장하는 시스템의 목록을 전달했습니다. 이를 확인한 결과, 총 8,656대의 컴퓨터 중 2,112대를 감염시킨 것으로 나타났습니다. 또한 그는 MUNI와의 협상은 “단 1일” 남았다고도 덧붙였습니다.

사건과 관련하여 아직까지는 그 규모와 공격자의 신원이 미상으로 남아있습니다. 해당 사건은 중요한 인프라들이 얼마나 취약한지에 대해 다시 한번 상기시키고 있습니다.

출처 :

http://thehackernews.com/2016/11/transit-system-hacked.html