포스팅 내용

국내외 보안동향

훔친 파일 삭제를 빌미로 추가 금전을 요구하는 Ako 랜섬웨어

Ransomware now demands extra payment to delete stolen files


한 랜섬웨어 패밀리가 복호화 툴 값뿐만 아니라 공격 도중 훔친 파일을 공개하지 않고 삭제하기 위한 두 번째 랜섬머니를 요구하기 시작했습니다.


지난 수년 동안, 랜섬웨어 운영자들은 회사 네트워크를 암호화하기 전 데이터를 훔쳤다고 주장하며 랜섬머니를 지불하지 않을 경우 데이터를 공개하겠다고 협박해 왔습니다.


지난 2019년 11월 Maze 랜섬웨어 운영자는 실제로 훔친 파일을 공개했습니다.


그 이후로 Maze, Sodinokibi, DopplePaymer, Clop, Sekhmet, Nephilim, Mespinoza, Netwalker와 같은 거의 모든 랜섬웨어 패밀리에서 이 정책을 도입하였습니다.


이들은 돈을 지불하지 않는 고객의 데이터를 공개하는 사이트를 만들었습니다.



Ako 랜섬웨어, 랜섬머니 두 번 요구하기 시작


Ako 랜섬웨어 운영자는 그들이 제작한 데이터 공개 사이트에서 복호화 툴을 받거나, 유출된 파일을 삭제하기 위해서는 랜섬머니를 2번 지불해야 한다고 명시했습니다.


그 예로, Ako는 피해 기업 중 한 곳의 데이터를 공개하며, 복호화 툴 값으로 35만 달러를 받았으나 탈취된 파일을 삭제하기 위한 비용은 받지 못해 데이터를 공개한다고 밝혔습니다.



<Ako의 유출 사이트에 게시된 데이터>

<이미지 출처: https://www.bleepingcomputer.com/news/security/ransomware-now-demands-extra-payment-to-delete-stolen-files/>



Ako 랜섬웨어 운영자는 BleepingComputer 측에 회사의 규모나 데이터 유형에 따라 특정 피해자에게만 이중 랜섬머니 정책을 적용한다고 밝혔습니다.


이 두 번째 랜섬머니의 금액은 10만 달러부터 최대 2백만 달러 사이에서 정해집니다.


복호화 툴 값은 지불하지 않고 데이터 삭제 값만 지불한 피해 기업이 있느냐는 질문에, 랜섬웨어 운영자들은 민감 데이터를 보유한 의료 기관들을 꼽았습니다.


운영자들은 환자 데이터, SSN 등을 훔친 미국의 의료기관 몇 곳에서 그런 요구를 했다고 전했습니다.


BleepingComputer는 이 운영자의 말이 사실인지는 확인할 수 없었습니다.



랜섬웨어 공격은 이제 데이터 유출 사고 


거의 모든 랜섬웨어 패밀리에서 파일을 암호화하기 전에 데이터를 훔치는 전략을 사용하고 있습니다.


대부분의 경우, 공격자들은 SSN, ID 카드, 의료 기록, 해지 통지서, 회계 문서, 영업 비밀 등과 같은 데이터를 훔칩니다.


이러한 데이터가 도난당해 유출될 경우, 피해자는 평판 및 재정적 피해를 입을 수 있습니다. 


따라서 랜섬웨어 공격이 발생할 경우 데이터 유출로 간주하고, 직원들에게 사실을 알리고 정부 기관에 신고해야 합니다.


Magellan Health 및 ExecuPharm는 데이터 유출 사실을 공개했지만, 대부분의 피해자들은 공격을 받지 않은 척하거나 데이터 유출 사실을 인정하지 않았습니다.





출처:

https://www.bleepingcomputer.com/news/security/ransomware-now-demands-extra-payment-to-delete-stolen-files/

티스토리 방명록 작성
name password homepage