포스팅 내용

국내외 보안동향

UHS 병원, Ryuk 랜섬웨어 공격 받아

UHS hospitals hit by reported country-wide Ryuk ransomware attack

 

병원 및 의료 서비스 제공 업체인 UHS(Universal Health Services)이 지난 월요일 아침 네트워크에서 발생한 사이버 공격으로 인해 미국 전역 의료시설 시스템을 중단시킨 것으로 나타났습니다.

 

UHS는 미국과 영국에서 400곳이 넘는 의료 시설을 운영하고 있으며 직원 수는 9만 명 이상입니다. 또한 매년 약 350만명의 환자에게 의료 서비스를 제공합니다.

 

Fortune에서 선정한 500대 기업 중 하나인 UHS의 연 매출은 2019114억 달러를 기록했으며 Forbes에서는 미국 최대규모 상장 기업 330위로 선정했습니다.

 

밤 중에 공격당해

 

UHS 직원들의 보고서에 따르면 캘리포니아, 플로리다, 텍사스, 아리조나, 워싱턴 D.C를 포함한 미국의 UHS 병원에서 컴퓨터와 전화 시스템에 접근할 수 없었던 것으로 나타났습니다.

 

영향을 받은 병원은 구급차를 타 병원으로 연결하고 수술이 필요한 환자를 인근 병원으로 이송하고 있는 것으로 나타났습니다.

 

공격이 발생했을 때, 안티 바이러스 프로그램 다수가 비활성화 되었으며 하드 드라이브가 활동을 시작해 램프가 켜졌습니다.”

 

“1분 정도 지나자 컴퓨터가 로그아웃 및 종료되었습니다. 컴퓨터를 다시 켜려고 시도할 경우 자동으로 종료되었습니다.”

 

실험실, 심전도, 방사선 연구실을 포함한 어떠한 컴퓨터에도 액세스할 수 없었습니다. 또한 PACS 방사선 시스템에도 접근할 수 없었습니다.”

 

직원들은 공격자가 네트워크 내 모든 기기에 접근하는 것을 차단하기 위해 모든 시스템을 종료하라는 지시를 받은 것으로 알려졌습니다.

 

범인은 Ryuk 랜섬웨어로 드러나

 

UHS는 해당 공격에 대해 공식적인 입장을 발표하지는 않았지만 직원들의 제보에 따르면 이 공격은 랜섬웨어로 인한 것으로 보입니다.

 

이들은 탐지를 피하기 위해 밤에 작업을 시작했으며 가능한 많은 시스템을 암호화한 후 모든 시스템을 즉시 종료시켰습니다. 추후 이는 더 많은 시스템을 잠그기 위한 것으로 밝혀졌습니다.

 

한 직원은 Bleeping Computer 측에 사이버 공격을 받은 후 파일에 .ryk 확장자가 추가되었다고 전해왔습니다. 이 확장자는 Ryuk 랜섬웨어에서 사용합니다.

 

또 다른 UHS 직원은 공격을 받은 한 컴퓨터의 스크린이 “Shadow of the Universe”라는 랜섬노트를 표시했다고 전했습니다. 이는 Ryuk 랜섬웨어의 랜섬노트 마지막 부분과 유사합니다.

 

Advanced IntelVitali Kremez에 따르면 UHS 시스템 공격은 피싱 메일 공격으로 시작된 것으로 추측됩니다.

 

 

<이미지 출처: https://twitter.com/anthomsec/status/1310608927239933954>

 

 

Kremez에 따르면, Intel의 플랫폼은 UHS Inc.에 영향을 미친 EmotetTrickBot2020년 내내 목격했습니다.

 

Emotet 트로이목마는 악성 첨부파일을 포함한 피싱 메일을 통해 확산됩니다.

 

얼마 후 Emotet은 해킹된 네트워크에서 민감 정보를 수집한 후 Ryuk 운영자에게 리버스 셸을 오픈하는 TrickBot을 설치합니다.

 

Ryuk 공격자들은 네트워크에 수동으로 접근 권한을 얻은 후 정찰을 수행하고 관리자 자격 증명을 얻어 PSExec 또는 PowerShell Empire를 사용하여 네트워크 기기에 랜섬웨어 페이로드를 설치합니다.

 

 

<Ryuk 랜섬노트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/uhs-hospitals-hit-by-reported-country-wide-ryuk-ransomware-attack/>

 

 

안타깝게도 랜섬웨어 공격일 경우 공격자가 환자 및 지원의 데이터를 훔쳤을 가능성이 높아 피해가 더욱 커지게 됩니다.

 

UHS에서 발생한 사이버 공격 이후 4건의 사망 사례가 보고되었습니다. 이 사망 사례가 해당 공격과 직접적인 관련이 있는지는 확인할 수 없었습니다.

 

현재 알약에서는 해당 랜섬웨어에 대해 'Trojan.Ransom.Ryuk'로 탐지 중에 있습니다. 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/uhs-hospitals-hit-by-reported-country-wide-ryuk-ransomware-attack/


티스토리 방명록 작성
name password homepage