UNC1878 해킹그룹, Ryuk 랜섬웨어로 미국의 병원 노려

Hacking group is targeting US hospitals with Ryuk ransomware

 

미 정부가 한 해킹 그룹이 Ryuk 랜섬웨어를 이용하여 병원 및 의료 제공 업체를 활발히 공격하고 있다고 경고했습니다.

 

10월 28일 미 CISA와 FBI, HHS는 의료 업계에 ‘증가하고 있는 일촉즉발의 사이버 보안 공격’에 대해 경고했습니다.

 

 

<의료 업계에 전송되는 이메일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/hacking-group-is-targeting-us-hospitals-with-ryuk-ransomware/>

 

 

미 정부는 Ryuk 랜섬웨어가 의료 업계를 활발히 공격하고 있기 때문에 시스템 보호를 위해 적절한 조치를 취해야 한다고 경고했습니다.

 

이러한 조치에는 네트워크 잠금 프로토콜 준비, 사고 대응 계획 검토, 윈도우 서버 및 에지 게이트웨이 기기에 패치 설치, 개인 이메일 제한, 공격 발생 시 환자 이송 전략 수립 등이 있습니다.

 

또한 공격이 발생했을 때 사용하지 않는 모든 기기를 끄는 것이 좋습니다.

 

지난 이틀 동안 오레곤의 Sky Lakes Medical Center와 뉴욕의 St. Lawrence Health System이 모두 Ryuk 랜섬웨어의 공격을 받았습니다.

 

공격의 배후에 UNC1878 해킹 그룹

 

Mandiant의 수석 부사장이자 CTO인 Charles Carmakal는 이 공격이 해킹 그룹인 UNC1878의 소행이라고 밝혔습니다.

 

“미국에서 여태껏 본 것 중 가장 심각한 사이버 보안 위협을 겪고 있습니다. 금전적 이득을 노리는 동유럽 공격자인 UNC1878은 의도적으로 미국 병원을 노려 혼란을 일으켜 환자를 다른 병원으로 이송하도록 합니다. 이로써 중환자 치료를 받기까지 대기 시간이 길어지게 됩니다.”

 

또한 이 그룹은 매우 효율적으로 움직여 일부의 경우 네트워크를 해킹하고 45분 이내에 랜섬웨어가 배포된다고 밝혔습니다.

 

피해자들이 복호화 툴을 받기 위해서는 수백 수천만 달러의 랜섬머니를 지불해야 합니다.

 

BazarLoader에서 Ryuk까지

 

Ryuk 공격은 수신자의 컴퓨터를 BazarLoader/KegTap로 감염시키는 피싱 캠페인으로 시작됩니다.

 

피싱 이메일은 특정 조직을 노리며, 아래와 같이 인보이스, 고객 컴플레인 등 다양한 미끼를 사용합니다.

 

 

<BleepingComputer를 사칭하는 BazarLoader 피싱 이메일>

<이미지 출처: https://www.bleepingcomputer.com/news/security/hacking-group-is-targeting-us-hospitals-with-ryuk-ransomware/>

 

 

이 이메일은 구글 문서로 연결되는 링크를 포함하고 있습니다. 해당 문서는 미리보기가 불가능한 PDF로 위장하고 있었습니다. 또한 사용자가 문서를 다운로드 하기 위해 링크를 클릭하도록 유도합니다.

 

 

<피싱 이메일 랜딩 페이지>

<이미지 출처: https://www.bleepingcomputer.com/news/security/hacking-group-is-targeting-us-hospitals-with-ryuk-ransomware/>

 

 

다운로드된 파일은 실행 시 피해자의 컴퓨터를 BazarLoader에 감염시키는 실행파일입니다.

 

BazarLoader가 설치되면 Cobalt Strike를 배포해 공격자가 피해자의 컴퓨터에 원격으로 접근하고 네트워크의 나머지 부분을 해킹할 수 있게 됩니다.

 

 

<BazarLoader 공격 흐름>

<이미지 출처: https://www.advanced-intel.com/post/front-door-into-bazarbackdoor-stealthy-cybercrime-weapon>

 

또한 이 그룹은 윈도우 도메인 관리자 자격 증명을 얻어내기 위해 윈도우 ZeroLogon 취약점을 악용하는 것으로 알려졌습니다. 따라서 윈도우 서버에 필요한 모든 패치를 완료해야 합니다.

 

윈도우 도메인 컨트롤러에 대한 접근 권한을 얻은 후, 공격자는 위 흐름도와 같이 모든 기기를 암호화하기 위해 Ryuk 랜섬웨어를 배포합니다.

 

FireEye는 UNC1878의 공격 방식에 대해 더욱 자세히 알아볼 수 있는 보고서를 발행했습니다.

 

Carmakal은 공격 방법이 지속적으로 변경되고 있기 때문에, 새로운 공격에서는 더 이상 공개된 IoC 및 TTP를 사용하지 않을 가능성이 있다고 밝혔습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/hacking-group-is-targeting-us-hospitals-with-ryuk-ransomware/

https://us-cert.cisa.gov/ncas/alerts/aa20-302a

https://www.fireeye.com/blog/threat-research/2020/10/kegtap-and-singlemalt-with-a-ransomware-chaser.html