포스팅 내용

국내외 보안동향

REVil 랜섬웨어, Telecom Argentina의 컴퓨터 18,000대 감염시켜

REVil ransomware infected 18,000 computers at Telecom Argentina


아르헨티나의 최대 규모 인터넷 서비스 제공 업체 중 하나인 Telecom Argentina가 랜섬웨어의 공격을 받은 것으로 나타났습니다. 


랜섬웨어 운영자들은 지난 주말 동안 컴퓨터 약 18,000대를 감염시켰으며 랜섬머니로 750만 달러를 요구하고 있습니다.


이 사고는 지난 토요일인 7월 18일 발생했으며 회사 업무에 치명적인 영향을 끼쳤습니다. 


공격자들은 먼저 회사 네트워크로의 접근 권한을 얻어 내부 도메인 관리자 권한을 탈취해 만 대가 넘는 컴퓨터를 감염시킬 수 있었습니다.


이 사고로 인해 해당 ISP 고객의 연결성에는 문제가 발생하지 않았습니다. 유선 통신 및 케이블 TV 서비스 또한 영향을 받지 않았습니다.


Telecom Argentina가 운영 중인 많은 웹사이트가 이 공격으로 인해 다운되었습니다. 보안 연구원인 German Fernandez는 이 공격이 REvil 랜섬웨어의 소행인 것으로 추측했습니다.


 

<이미지 출처: https://twitter.com/1ZRR4H/status/1284947544171307010>



내부 IT 직원이 공격을 발견한 즉시 회사는 직원들에게 내부 VPN 네트워크에 연결하지 말고 수상한 압축 파일이 첨부된 이메일을 열지 말 것을 경고했습니다.


REvil(Sodinokibi) 랜섬웨어 그룹은 다크 웹 지불 포털에 Telecom Argentina 전용 페이지를 만들었습니다.


해당 페이지에서는 109345.35 모네로 코인을(약 90.2억원) 랜섬머니로 요구하고 있었습니다.


이 글을 쓰고 있는 시점에서 해커는 아직까지 Telecom Argentina의 정보를 다크 웹 유출 사이트에 게시하지 않은 상태입니다.


이 랜섬웨어 공격자들은 Telecom Argentina에서 3일 내 랜섬머니를 지불하지 않을 시 가격이 2배로 증가한다고 위협하고 있었습니다.


REVil 운영자들은 과거에는 Pulse Secure과 Citrix VPN, 엔터프라이즈 게이트웨이 시스템을 침입 포인트로 활용했습니다.


REvil 랜섬웨어의 공격을 받은 ISP 업체는 Telecom Argentina가 처음은 아닙니다. 이들은 지난 5월 스리랑카 텔레콤의 시스템을 감염시켰습니다.


지난 7월 초, 또 다른 ISP인 Orange SA 또한 랜섬웨어 공격을 당해 기업 고객 20명의 데이터를 노출시켰습니다.





출처:

https://securityaffairs.co/wordpress/106147/cyber-crime/telecom-argentina-revil-ransomware.html

티스토리 방명록 작성
name password homepage