FBI, Netwalker 랜섬웨어 공격 경고해

FBI issued a flash alert about Netwalker ransomware attacks

FBI가 미국과 외국의 정부 기관을 노린 Netwalker 랜섬웨어 공격에 대한 경고를 발표했습니다. 또한 피해자에게 랜섬머니를 지불하지 말고 지역 FBI에 사건을 보고할 것을 권고했습니다.

또한 FBI는 이 경고문을 통해 Netwalker 랜섬웨어의 IOC와 완화법을 함께 공개했습니다.

FBI는 지난 6월 시작된 Netwalker 랜섬웨어 공격의 새로운 웨이브에 대해 경고했습니다. 피해자 목록에는 UCSF 의과대학, 호주 물류 대기업인 Toll Group 등이 포함되어 있었습니다.

“2020년 6월, FBI는 미국 및 외국의 정부 기관, 교육 기관, 민간 기업, 보건 기관을 노린 신원이 밝혀지지 않은 공격자들의 Netwalker 랜섬웨어 공격에 대한 제보를 받았습니다.”

“Netwalker는 2020년 3월 호주의 운송 및 물류 기업과 미국의 공중 보건 조직에 침투한 후 널리 알려졌습니다. 사이버 공격자들은 코로나19 팬데믹 상황을 악용하여 더 많은 사용자들을 감염시키기 위해 Netwalker를 사용해 왔습니다.”

Netwalker 랜섬웨어 운영자는 지난 3월 이후로 매우 활발히 활동했으며, 조직을 공격하기 위해 코로나19 팬데믹 상황을 악용한 것으로 나타났습니다.

공격자들은 초기에 VBS(Visual Basic Scripting) 로더를 배포하는 피싱 이메일을 사용했으나 2020년 4월부터는 피해자의 네트워크에 접근하기 위해 취약한 VPN 어플라이언스, 웹 앱의 UI 컴포넌트, 취약한 RDP 암호 등을 악용하기 시작했습니다.

최근 Netwalker 랜섬웨어 운영자들은 대기업 네트워크에 접근 권한을 줄 수 있는 새로운 파트너를 찾고 있는 것으로 알려졌습니다.

“Netwalker가 가장 많이 악용한 취약점 2개는 Pulse Secure VPN (CVE-2019-11510), Telerik UI (CVE-2019-18935) 취약점입니다.”

“공격자가 Netwalker를 통해 네트워크에 침투하면 관리자 크리덴셜 및 귀중한 데이터를 탈취하고 사용자 파일을 암호화하는 여러 악성 프로그램이 실행됩니다. 사용자 네트워크에서 파일을 암호화하기 위해 Netwalker 랜섬웨어 실행파일이 포함된 악성 PowerShell 스크립트를 실행했습니다.”

FBI에서 추천한 완화법은 아래와 같습니다.

중요한 데이터는 오프라인으로 백업하기

중요한 데이터의 복사본을 클라우드, 외부 하드 드라이브 또는 저장 장치에 보관하기

백업을 안전하게 보호하고 데이터가 저장된 시스템에서 수정 또는 삭제가 불가능하도록 설정하기

모든 호스트에 안티바이러스 소프트웨어를 설치하고 정기적으로 업데이트하기

공용 Wi-Fi 네트워크 사용을 피하고 안전한 네트워크만을 사용하기

VPN 설치 및 사용을 고려하기

강력한 패스워드 및 이중 인증 사용하기

컴퓨터, 기기, 애플리케이션을 패치하고 항상 최신 버전으로 유지하기

또한 FBI는 피해자들에게 랜섬머니를 지불하지 말 것을 권고했습니다.

현재 알약에서는 해당 악성코드 샘플에 대해 'Trojan.Ransom.Powershell, Trojan.Downloader.VBS.Agent, Trojan.Ransom.Mailto, Trojan.Ransom.Filecoder' 등으로 탐지 중에 있습니다.

출처:

https://securityaffairs.co/wordpress/106671/cyber-crime/fbi-warns-netwalker-ransomware-attacks.html