프랑스 CERT, 지방 정부를 노리는 새로운 Pysa 랜섬웨어 경고

CERT France – Pysa ransomware is targeting local governments

프랑스 CERT가 지방 정부를 노리는 새로운 랜섬웨어 공격에 대해 경고했습니다. 이 캠페인 운영자들은 Mespinoza 랜섬웨어의 새로운 버전인 Pysa 랜섬웨어를 배포하고 있는 것으로 나타났습니다.

“ANSSI는 최근 프랑스의 지방 정부를 특히 노리는 컴퓨터 공격에 대한 제보를 받았습니다. 이 공격에는 랜섬웨어형 악성코드가 사용되었으며, 특정 파일을 사용할 수 없는 상태로 만들었습니다. 이 공격의 근원지가 어디인지는 밝혀지지 않았으며 현재 조사를 진행 중인 상태입니다.”

전문가에 따르면, 첫 번째 감염은 2019년 발견되었으며 피해자들은 악성코드로 인해 파일이 암호화 되었다고 신고했습니다. 이 악성코드는 암호화한 파일에 .locked 확장자를 붙였습니다.

Mespinoza 랜섬웨어는 시간이 지남에 따라 진화했으며 12월에는 새로운 버전이 등장했습니다. 이 새로운 버전은 .pysa 파일 확장자를 사용했으며 Pysa 랜섬웨어라 명명되었습니다.

이 변종은 초기에는 대기업을 주로 노렸지만, 프랑스 CERT는 이 랜섬웨어가 최근 프랑스 내 조직들, 특히 지방 정부 기관을 공격하고 있다고 경고했습니다.

또한 Pysa 랜섬웨어 코드는 공개 파이썬 라이브러리를 기반으로 하고 있다고도 덧붙였습니다.

Pysa 랜섬웨어 운영자들은 관리 콘솔과 활성 디렉토리 계정에 브루트포스 공격을 실행했습니다.

“관리 콘솔 및 일부 활성 디렉토리 계정에서 브루트포싱 시도가 발견되었습니다. 또한 일부 도메인 관리자 계정은 실제로 해킹되었습니다.”

“이 패스워드 데이터베이스는 공격 전 잠깐 동안 유출된 적이 있습니다. 이 운영 모드와 잠재적으로 연결된 알려지지 않은 호스트명을 사용하는 도메인 컨트롤러 사이에서 불법적인 RDP 연결이 발생했습니다. 이 운영 모드에서 사용한 “.bat” 스크립트는 원격 관리 툴인 PsExec 및 POWERSHELL 스크립팅 언어를 사용한다는 것을 보여줍니다.

일단 타깃 네트워크를 해킹하면, 공격자는 회사의 계정 및 패스워드 데이터베이스를 추출하려 시도합니다.

Pysa 랜섬웨어 운영자는 PowerShell Empire 침투 테스트 툴을 사용하여 안티바이러스 제품을 중단시킬 수 있었습니다.

CERT-FR이 조사한 한 사고에서는 .pysa 대신 .newversion 확장자를 사용했습니다. 이 버전에는“ReadmeREAD”라는 랜섬노트가 존재했으며 이전 공격과 동일한 Protonmail 이메일 주소를 사용했습니다.”

안타깝게도 아직까지 Pysa 랜섬웨어에서 취약점이 발견되지 않았습니다.

출처 :

https://securityaffairs.co/wordpress/99996/malware/cert-france-pysa-ransomware.html

https://www.cert.ssi.gouv.fr/cti/CERTFR-2020-CTI-002/