Ryuk 랜섬웨어, 노스 캐롤라이나 주 더럼시 공격해

Ryuk Ransomware Behind Durham, North Carolina Cyberattack

노스 캐롤라이너의 더럼시(City of Durham, North Carolina)가 지난 주말 Ryuk 랜섬웨어 공격을 받아 네트워크 운영을 중단했습니다.

지역 언론은 해당 시가 Ryuk 랜섬웨어를 설치하는 피싱 공격에 피해를 입었다고 보도했습니다.

“SBI에 따르면, Ryuk 랜섬웨어는 피해자가 이메일의 첨부파일을 열면 네트워크로 침투할 수 있게 됩니다. 침투에 성공하면 파일 공유를 통해 네트워크 서버에서 개별 컴퓨터로 확산될 수 있습니다.”

더럼시는 네트워크 전체에 공격이 확산되는 것을 막기 위해 더럼 경찰서, 더럼 보안관 사무실, 통신 센터의 DCI 네트워크로의 모든 접근을 임시로 비활성화했습니다.

이로써 더럼시의 911 콜센터 운영이 중단되어 더럼의 소방서 전화 서비스를 이용할 수 없게 되었습니다.

데이터가 도난 당했다는 증거는 발견되지 않았습니다. 하지만 더럼시는 해당 시에서 발송한 것으로 보이는 이메일에 유의할 것을 당부했습니다.

공격자들, 수 주 동안 네트워크에 상주한 것으로 추측돼

Ryuk 랜섬웨어 공격은 보통 네트워크가 TrickBot 트로이목마에 먼저 감염된 후 발생합니다. TrickBot은 보통 피싱 메일에 첨부된 악성 파일을 통해 설치됩니다.

TrickBot은 인포 스틸링 트로이목마로 감염된 컴퓨터에서 데이터를 훔친 후 네트워크를 통해 측면 이동을 시도합니다.

네트워크에서 가치 높은 데이터를 모두 수집한 후 Ryuk 랜섬웨어 공격자들에게 다시 셸을 오픈하여 네트워크의 데이터를 수집 후 관리자 크리덴셜을 얻습니다.

이 작업이 완료된 후 네트워크 내 모든 기기에 Ryuk 랜섬웨어를 배포한 후 막대한 랜섬머니를 요구합니다.

출처 :

https://www.bleepingcomputer.com/news/security/ryuk-ransomware-behind-durham-north-carolina-cyberattack/