크로아티아 최대 규모 주유소 체인인 INA에서 랜섬웨어 공격 발생

Croatia’s largest petrol station chain INA group hit by ransomware attack

랜섬웨어 공격으로 인해 크로아티아 최대 석유 회사이자 주유소 체인인 INA 그룹의 운영이 중단되었습니다.

INA, d.d. 는 헝가리아의 MOL 그룹과 크로아티아 정부가 최대주주로 있는 주식회사입니다.

이 회사는 현지 시간으로 지난 금요일 2월 14일 22:00에 발생한 공격으로 인해 인보이스 발행 및 마일리지 카드 사용이 불가능했다고 밝혔습니다.

“INA 그룹은 현재 사이버 공격을 받고 있습니다. 따라서 모바일 전화 바우처, 전자 비네트, 청구서 지불 등 서비스 운영에 영향을 미칠 수 있습니다.”

“시장 공급 부분은 안전한 상태입니다. 각 지점에서 주유하는 데는 이상이 없습니다. 현금 결제, INA 카드 또는 은행 카드를 포함한 모든 결제 수단은 안전하게 처리될 것입니다. INA는 시스템 내 문제를 해결하기 위한 조치를 취하고 있습니다.”

ZDNet은 “이 사이버 공격으로 인해 회사의 백엔드 서버 중 일부가 감염 및 암호화되었다는 여러 제보를 받았다”고 밝혔습니다.

현재 회사는 모든 시스템을 복원하기 위한 작업 중이라 공지했습니다.

ZDNet 측은 이 회사가 CLOP 랜섬웨어의 공격을 받은 것으로 추측했습니다.

 

[그림 1] 이번 CLOP 랜섬웨어 공격에 활용된 C2정보 관련 트윗

이 랜섬웨어 패밀리는 2019년 12월 연구원인 Vitali Kremez가 발견했습니다. 이 악성코드는 윈도우 시스템을 노리며 감염된 시스템에서 실행되는 보안 제품을 비활성화하려 시도합니다.

또한, 이 악성코드는 암호화 프로세스를 시작하기 전 실행 중인 보안 툴을 비활성화 하기 위해 작은 프로그램을 실행합니다.

Clop 랜섬웨어는 레지스트리 값을 변경하여 윈도우 디펜더를 비활성화 하려 시도합니다.

보안 연구원들은 VirusTotal에서 CLOP 랜섬웨어의 새로운 버전 [1, 2, 3]을 발견했습니다.

BleepingComputer에 따르면, CLOP 랜섬웨어의 운영자는 2019년 3월 공격 대상을 최종 사용자에서 기업으로 변경했습니다.

보안 연구원들은 CLOP을 네트워크를 감염시키고, 데이터를 암호화하고, 막대한 랜섬머니를 요구하는 범죄 그룹을 일컫는 용어인 “빅게임 랜섬웨어”라 지칭했습니다.

출처 :

https://securityaffairs.co/wordpress/98203/malware/ina-group-ransomware-attack.html

https://www.zdnet.com/article/croatias-largest-petrol-station-chain-impacted-by-cyber-attack/

https://twitter.com/AltShiftPrtScn/status/1228367708472913920