대규모 Snake 랜섬웨어 캠페인, 의료 기관 등 노려

Large scale Snake Ransomware campaign targets healthcare, more

Snake 랜섬웨어 운영자들이 전 세계적인 사이버 공격 캠페인을 통해 지난 몇 주 동안 수많은 기업과 의료기관을 공격한 것으로 나타났습니다.

지난 1월, 새로운 Snake 랜섬웨어가 기업 네트워크를 노린다는 소식 이후로 별다른 소식이 없었으며, 실제 공격이 거의 발생하지 않았습니다.

하지만 이 랜섬웨어의 운영자들은 5월 4일부터 전 세계의 조직을 노리는 대규모 캠페인을 실행했습니다.

랜섬웨어 식별 사이트인 ID 랜섬웨어(ID Ransomware)에는 5월 4일부터 Snake 랜섬웨어 등록 건수가 크게 증가했습니다.

<ID 랜섬웨어에 등록된 Snake 랜섬웨어 수>

<이미지 출처: https://www.bleepingcomputer.com/news/security/large-scale-snake-ransomware-campaign-targets-healthcare-more/>

보안 기자인 Brian Krebs에 따르면, 유럽 최대 규모 의료 서비스 제공 업체인 Fresinius 그룹이 이 캠페인의 피해를 입은 것으로 알려졌습니다.

Fresinius 그룹은 유럽 최대 민간 병원 운영 업체이자 코로나19 팬데믹으로 인해 현재 수요가 급격히 높은 투석 제품 및 서비스의 주요 제공 업체입니다.

Fresinius는 이 사건으로 인해 일부 운영을 제한했으나 환자 관리는 계속될 것이라고 밝혔습니다.

또한 Fresenius 이외에도 프랑스의 건축 회사, 선불 직불 카드 회사 등 여러 회사가 이 캠페인에 피해를 입은 것으로 알려졌습니다.

Snake 랜섬웨어, 파일을 암호화하기 전 훔쳤다고 주장해

다른 랜섬웨어와 마찬가지로, Snake 또한 네트워크 상의 컴퓨터를 암호화하기 전 암호화되지 않은 파일을 훔쳤다고 주장하고 있습니다.

이 랜섬웨어의 랜섬노트인 'Decrypt-Your-Files.txt' 파일에서 48시간 이내에 돈을 지불하지 않으면 훔친 데이터베이스를 공개하겠다는 내용을 포함하고 있습니다.

 

<Snake 랜섬노트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/large-scale-snake-ransomware-campaign-targets-healthcare-more/>

이 랜섬노트에는 아래와 같은 경고가 포함되어 있었습니다.

-------------------------------------------------------

| What happens if you dont contact us within 48 hours or refuse payment?

-------------------------------------------------------

We publish sensitve databases and documents we collected from your network.

-------------------------------------------------------

Snake가 실제로 암호화되지 않은 파일을 훔치거나, 데이터 공개 사이트를 운영하는지는 아직까지 확실히 밝혀지지 않았습니다.

랜섬웨어 감염이 발생할 경우 최악의 상황을 가정하여 데이터가 유출된 것으로 간주하며, 데이터 유출 사건과 동일한 조치를 취해야 할 것입니다.

현재 알약에서는 해당 랜섬웨어 샘플에 대해 Trojan.Ransom.Filecoder으로 탐지 중에 있습니다.

출처:

https://www.bleepingcomputer.com/news/security/large-scale-snake-ransomware-campaign-targets-healthcare-more/

https://krebsonsecurity.com/2020/05/europes-largest-private-hospital-operator-fresenius-hit-by-ransomware/