New Yanluowang ransomware used in targeted enterprise attacks
기업을 노린 고도의 표적 공격에 사용된 아직까지 개발 단계인 새로운 랜섬웨어 변종이 발견되었습니다.
Broadcom의 Symantec Threat Hunter Team이 발견한 이 랜섬웨어는 감염된 시스템의 암호화된 파일에 추가하는 확장자에서 이름을 따 Yanluowang으로 명명되었습니다.
이 랜섬웨어는 합법적인 AdFind 커맨드라인 활성 디렉터리 쿼리 툴와 관련된 의심스러운 활동이 발견된 후, 유명 조직과 관련된 사건을 조사하던 중 최근 발견되었습니다.
AdFind는 랜섬웨어 운영자가 피해자의 네트워크를 통해 측면 이동하기 위해 필요한 정보에 접근하는 작업 등을 포함한 정착 작업에 흔히 사용됩니다.
랜섬웨어, 피해자들에 도움을 요청하지 말라고 경고해
연구원들이 의심스러운 AdFind 사용을 포착한지 며칠 만에 공격자는 해킹된 조직의 시스템에 Yanluowang 랜섬웨어 페이로드를 배포하려 시도했습니다.
해킹된 기기에 랜섬웨어를 배포하기 전, 운영자는 아래와 같은 작업을 수행하도록 설계된 악성 툴을 실행했습니다.
- 커맨드라인에서 체크인할 원격 컴퓨터의 수로 .txt 파일 생성
- WMI(Windows Management Instrumentation)를 사용하여 .txt 파일에 나열된 원격 컴퓨터에서 실행 중인 프로세스 목록 불러오기
- 모든 프로세스 및 원격 시스템 이름을 process.txt에 기록
- Yanluowang이 배포되면 하이퍼바이저 가상 머신을 중지하고 precursor 툴(SQL, Veeam 포함)에서 수집한 모든 프로세스를 종료하고 파일을 암호화하고 .yanluowang 확장자 추가
Yanluowang은 법 집행 기관에 연락하거나 랜섬웨어 관련 협상 회사에 도움을 청하지 말 것을 경고하는 랜섬노트인 'README.txt' 파일을 시스템에 드롭합니다.
<Yanluowang 랜섬노트>
DDoS 공격의 위협
Broadcom 연구원들은 관련하여 아래와 같이 덧붙였습니다.
"피해자가 공격자가 정한 규칙을 어길 경우, 공격자는 피해자에게 분산 서비스 거부(DDoS) 공격을 실행하고 직원 및 비즈니스 파트너에게 전화를 걸 것이라 협박했습니다. 또한 범죄자들은 피해자에게 몇 주 내에 공격을 반복하고 피해자의 데이터를 삭제하겠다고 협박합니다. 이는 대부분의 랜섬웨어 운영자가 피해자가 랜섬머니를 지불하도록 협박하기 위해 사용하는 흔한 전략입니다.”
해당 악성코드의 해시를 포함한 침해 지표는 Symantec Threat Hunter Team 보고서의 마지막 부분에서 확인할 수 있습니다.
Yanluowang은 아직 개발 단계에 있는 랜섬웨어이지만, 랜섬웨어는 전 세계적으로 조직이 직면할 수 있는 가장 큰 위협 중 하나이기 때문에 여전히 위험합니다.
백악관 국가안보회의(NSC)는 이번 주 개최된 가상 국제 랜섬웨어 대응 행사에서 30개국 이상의 대표들과 회의를 진행한 결과 랜섬웨어 사이버 범죄 그룹을 단속하려는 미국의 노력에 동참하기로 결정했습니다.
올 여름 Colonial Pipeline과 JBS에 실행된 랜섬웨어 공격 이후, 국가 안보 보좌관인 Anne Neuberger 또한 미 기업들에 랜섬웨어를 심각하게 받아들일 것을 당부했습니다.
출처:
Accenture, LockBit 랜섬웨어 공격 이후 데이터 유출 사고 겪었다고 밝혀 (0) | 2021.10.18 |
---|---|
Acer, 몇 달 만에 두 번째 보안 침해 사고 겪어 (0) | 2021.10.15 |
마이크로소프트, 10월 패치 화요일 통해 윈도우 취약점 71개 수정 (0) | 2021.10.14 |
Verizon 디지털 통신사인 Visible에서 고객 계정 해킹 사고 발생해 (0) | 2021.10.14 |
가상화폐 탈취 허용하는 OpenSea의 치명적인 취약점 발견 (0) | 2021.10.14 |
댓글 영역