칠레 은행 BancoEstado, Sodinokibi 랜섬웨어 공격 받아

Chilean bank BancoEstado hit by REVil ransomware

 

칠레 최대 규모 은행 중 하나인 BancoEstado가 랜섬웨어 공격을 받아 지난 9월 7일부터 지점을 폐쇄했습니다.

 

이 랜섬웨어는 회사 서버 대부분과 워크스테이션을 암호화한 것으로 나타났습니다.

 

해당 공격은 주말 동안 발생했으며 은행은 트위터를 통해 BancoEstado 침해 사건이 종결되었다고 공지했습니다.

 

은행은 지난 일요일 트위터를 통해 공격 받은 사실을 밝혔으며 사건을 조사하고 시스템 복구를 위해 지점을 폐쇄하기로 결정했다고 밝혔습니다.

 

“은행 지점은 운영되지 않을 것이며 오늘도 폐쇄된 상태를 유지할 것입니다.”

 

은행은 사건에 대한 조사를 시작하고 칠레 경찰에 이를 신고했습니다.

 

칠레의 사이버 보안 사고 대응 팀(CSIRT) 또한 민간 부문을 노리는 랜섬웨어 캠페인에 대한 사이버 보안 경고를 발행했습니다.

 

<이미지 출처: https://twitter.com/BancoEstado/status/1302687335482568704>

 

ZD Net에 따르면 이 칠레 은행은 Sodinokibi 랜섬웨어의 공격을 받은 것으로 나타났습니다. 하지만 해당 랜섬웨어 그룹의 유출 사이트에는 은행의 데이터가 올라오지 않은 상태입니다.

 

“수사관들은 지난 금요일 밤부터 토요일 사이에 해커가 백도어를 통해 은행의 네트워크에 잠입해 랜섬웨어를 설치한 것으로 추측했습니다.”

 

“토요일, 주말 근무 중이던 은행 직원이 파일을 사용할 수 없게 된 후 공격을 발견할 수 있었습니다.”

 

공격자들은 악성 오피스 파일을 통해 은행 인프라에 백도어를 설치했으며 이를 진입점으로 사용했습니다. 공격 벡터는 무기화된 오피스 문서를 이용하는 일련의 스팸 메시지인 것으로 보입니다.

 

은행에 따르면 BancoEstado의 인프라가 잘 설계된 덕분에 웹사이트, 뱅킹 포털, 모바일 앱, ATM 네트워크는 이 공격에 영향을 받지 않은 것으로 나타났습니다.

 

Sodinokibi 랜섬웨어 그룹은 현재 가장 활발히 활동하는 그룹 중 하나입니다. 이들은 과거에 Pulse Secure와 Citrix VPN 및 기업 게이트웨이 시스템을 진입점으로 사용했습니다.

 

이 랜섬웨어의 피해자는 Telecom Argentina, Sri Lanka Telecom, Valley Health Systems, 호주의 Lion, Brown-Forman, 전기 에너지 회사인 Light S.A., 전력 운영 기관인 Elexon 등으로 매우 많습니다.

 

2018년 6월에는 북한과 관련된 해커들이 칠레의 또 다른 은행인 Banco de Chile를 공격하여 시스템을 데이터 와이퍼 악성코드에 감염시킨 사례가 있었습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/108014/cyber-crime/bancoestado-ransomware.html