상세 컨텐츠

본문 제목

유럽의 전기에너지기업, RagnarLocker 랜섬웨어 공격당해

국내외 보안동향

by 알약(Alyac) 2020. 4. 16. 14:30

본문

RagnarLocker ransomware hits EDP energy giant, asks for €10M


유럽의 전기에너지기업 EDP가 Ragnar Locker 랜섬웨어의 공격을 받았으며, 1580 비트코인을 랜섬머니로 요구당하는 것으로 밝혀졌습니다. 



10TB의 데이터 탈취


이번 공격과정중에서 Ragnar Locker 랜섬웨어는 edp기업의 10TB 민감데이터를 탈취하였으며, EDP 기업이 랜섬머니를 지불하지 않으면 이렇게 탈취한 민감 정보들을 공개하겠다고 협박하였습니다. 


Ragnar Locker 랜섬웨어가 공개한 웹페이지에는 

"우리는 이미 EDP 그룹 서버의 10TB의 기밀문서를 탈취하였다. 이를 증명하기 위해, 우리는 기업의 내부망에서 내려받은 파일들의 캡쳐화면을 공개한다. 이 게시물은 임시게시물이지만, 만약 EDP 그룹이 랜섬머니를 지불하지 않는다면 해당 페이지는 영원히 유지될 것이다. 또한 우리는 대형 언론매체, 블로그에 파일들을 공개하고 너희의 고객들, 협력사 및 경쟁업체에게 이 기밀문서들을 공개하겠다"라고 적혀있습니다. 



<이미지 출처 : https://www.bleepingcomputer.com/news/security/ragnarlocker-ransomware-hits-edp-energy-giant-asks-for-10m/>



공격자들이 EDP를 경고하기 위해 공개한 파일 중에는 edpradmin2.kdb파일도 포함되어 있는데, 이는 KeePass 비밀번호 관리 DB입니다. 누출 사이트를 클릭하면 EDP 직원의 로그인 이름, 암호, 계정, URL 및 메모를 포함한 데이터베이스 내보내기로 연결됩니다.


<이미지 출처 : https://www.bleepingcomputer.com/news/security/ragnarlocker-ransomware-hits-edp-energy-giant-asks-for-10m/>



MalwareHunte팀은 랜섬웨어 샘플을 수집하였으며, 랜섬노트와 Tor 결제페이지도 찾을 수 있었습니다. 


EDP의 암호화된 시스템 상 랜섬노트를 보면, 공격자는 청구서, 계약, 거래, 클라이언트 등과 관련된 기밀정보들을 탈취했다고 적혀있습니다. 


"만약  랜섬머니를 지불하지 않으면 모든 파일과 문서가 모든 사람에게 공개 될 것이며, 모든 고객과 파트너에게 직접 링크를 통해 이러한 유출에 대해 알릴 것입니다."


"따라서 명성에 해를 끼치 지 않으려면 요청한 금액을 더 잘 지불하십시오."



라이브 채팅을 통한 협박


Ragnar Locker 랜섬웨어 배후에 있는 조직은 "client room" 라이브챗을 통해 EDP에 데이터 유출 사이트를 확인하라고 알렸으며, 기업의 정보들을 속보나 기술 블로그에서 보기를 원하냐며 협박을 하였습니다. 


또한 "시간은 기다려주지 않는다"라며, EDP에게 다른 복호화 툴로 복호화를 시도한다면 데이터들은 영원히 삭제될 거라고도 밝혔습니다. 


현재 EDP는 이와 관련해서 어떠한 의견도 내놓지 않고있는 상황입니다. 



Ragnar Locker랜섬웨어


Ragnar Locker 랜섬웨어는 2019년 12월 처음 발견되었으며,  MSP enterprise support tools을 통해 네트워크에 침투하여 데이터를 암호화 합니다. 


보안업체인 Huntress Labs는 Ragnar Locker가 MSP의 ConnectWise를 통해 공격을 진행한다고 밝혔습니다. 


<이미지 출처 : https://www.bleepingcomputer.com/news/security/ragnarlocker-ransomware-hits-edp-energy-giant-asks-for-10m/>


정찰 및 배포 전 단계 후에 공격자는 암호화 된 파일에 특정 확장명을 추가하고 내장 된 RSA-2048 키를 사용하며 사용자 지정 랜섬 노트를 삭제하는 고도로 타겟팅 된 랜섬웨어 실행 파일을 삭제합니다.


랜섬노트에는 피해자의 회사 이름, Tor 사이트에 대한 링크 및 피해자가 게시 한 데이터가있는 데이터 유출 사이트가 포함됩니다.





출처 :

https://www.bleepingcomputer.com/news/security/ragnarlocker-ransomware-hits-edp-energy-giant-asks-for-10m/



관련글 더보기

댓글 영역