Nokia의 자회사, Conti 랜섬웨어 공격 후 데이터 유출 사실 공개

 

 

Nokia subsidiary discloses data breach after Conti ransomware attack

 

미국에 본사를 둔 Nokia의 자회사인 SAC Wireless가 Conti 랜섬웨어의 공격을 받아 데이터가 탈취되고 시스템이 암호화됐다고 밝혔습니다.

 

일리노이주 시카고에 본사를 두고 독립적으로 운영되는 Nokia 회사는 미 전역의 통신사, 주요 타워 소유자, OEM(Original Equipment Manufacturer)과 함께 협력합니다.

 

SAC Wireless는 고객이 5G, 4G LTE, 소형 셀, FirstNet을 포함한 셀룰러 네트워크를 설계, 구축, 업그레이드할 수 있도록 지원합니다.

 

 

Conti 랜섬웨어가 시스템을 암호화한 후 공격 탐지돼

 

회사는 지난 6월 16일 Conti 랜섬웨어가 페이로드를 배포하고 SAC의 무선 시스템을 암호화한 후에야 네트워크 해킹 사실을 발견했습니다.

 

외부 사이버 보안 전문가의 도움을 받아 진행한 포렌식 조사에 따르면, 해당 사고로 8월 13일 전·현직원 및 의료보험 피부양자 또는 수혜자의 개인정보도 함께 도난당한 것으로 나타났습니다.

 

SAC는 피해를 입은 사용자에게 데이터 유출 알림을 보내 아래와 같이 밝혔습니다.

 

"공격자인 Conti는 SAC 시스템에 대한 액세스 권한을 얻어 클라우드 저장소에 파일을 업로드한 다음, 6월 16일 SAC 시스템의 파일을 암호화할 목적으로 랜섬웨어를 배포했습니다."

 

하지만 SAC는 영향을 받은 피해자의 수는 공개하지 않았습니다.

 

회사는 포렌식 조사를 마친 후 도난당한 파일에 아래와 같은 개인정보가 포함된 것으로 판단했습니다.

 

이름, 생년월일, 연락처(집 주소, 이메일, 전화 등), 주민등록번호(운전면허증, 여권, 군인 신분증 등), SSN, 시민권 여부, 직장 정보(직위, 급여, 평가 등), 병력, 건강 보험 정보, 자동차 번호, 전자 서명, 결혼 또는 출생 증명서, 세금 신고 정보, 피부양/수혜자 이름

 

SAC는 추가적인 사고를 방지하기 위해 아래와 같은 조치를 취했습니다.

 

- 방화벽 규칙 변경

- VPN 연결 비활성화

- 미국 이외 지역의 액세스를 제한하기 위한 조건부 지리적 위치 접근 정책 시행

- 추가 직원 교육

- 추가 네트워크 및 엔드포인트 모니터링 툴 배포

- 다단계 인증 확장

- 추가 위협 탐지 및 엔드포인트 대응 툴 배포

 

 

Conti, 파일 250GB 훔쳤다고 주장해

 

Conti 랜섬웨어는 유출 사이트를 통해 회사의 데이터 250GB를 훔쳤다고 주장했습니다.

 

최근 업데이트에 따르면, 해당 랜섬웨어 그룹은 Nokia의 자회사가 랜섬머니를 지불하지 않을 경우 훔친 파일을 곧 유출할 것이라 협박한 것으로 전해졌습니다.

 

Conti 랜섬웨어는 Wizard Spider로 알려진 러시아에서 활동하는 사이버 범죄 그룹이 운영하는 것으로 추측되는 비공개 서비스형 랜섬웨어 (RaaS)입니다.

 

이 범죄자 집단은 최근 아일랜드의 의료 서비스와 보건부를 해킹해 시스템을 암호화한 후 랜섬머니로 2천만 달러를 요구했습니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/nokia-subsidiary-discloses-data-breach-after-conti-ransomware-attack/

https://www.documentcloud.org/documents/21047756-sac-wireless-data-breach-conti-ransomware-bc-notification-letter