FBI: Ranzy Locker ransomware hit at least 30 US companies this year
FBI가 지난 월요일 Ranzy Locker 랜섬웨어가 미국의 다양한 분야 회사 최소 30곳을 해킹했다고 밝혔습니다.
FBI는 TLP: WHITE 플래시 경보를 통해 아래와 같이 밝혔습니다.
"익명의 사이버 범죄자가 Ranzy Locker 랜섬웨어를 통해 2021년 7월 기준 미국 기업 30곳 이상을 해킹했습니다.”
"피해자에는 주요 제조 부문의 건설 하위 부문, 정부 시설 부문의 학계 하위 부문, 정보 기술 부문, 운송 부문이 포함됩니다.”
이 플래시 경보는 CISA와 협력하여 발행되었으며, 보안 전문가가 이러한 랜섬웨어 공격 시도를 탐지 및 방어하는데 도움을 줄 수 있는 정보를 제공하도록 설계되었습니다.
공격을 받았다고 제보한 Ranzy Locker 피해자 중 대부분은 FBI 측에 운영자가 원격 데스크톱 프로토콜(RDP)에 크리덴셜 브루트포싱 공격을 통해 네트워크를 침해했다고 밝혔습니다.
최근에 제보한 다른 피해자들은 공격자가 취약한 Microsoft Exchange 서버를 악용하거나, 피싱 공격을 통해 훔친 크리덴셜을 사용했다고 제보했습니다.
<Ranzy Locker 랜섬웨어 제보 건수>
브랜드를 변경한 Ako 랜섬웨어
Ranzy Locker는 피해자의 네트워크에 침입을 성공한 후 다른 대부분의 랜섬웨어가 사용하는 전략을 사용합니다. 이들은 피해 기업 네트워크 내 시스템을 암호화하기 전 원본 문서를 먼저 탈취합니다.
고객 정보, 개인 식별 정보(PII) 데이터, 금융 기록 등 민감 정보를 포함한 이 추출된 파일은 피해자가 랜섬머니를 지불하지 않으려 할 경우 온라인에 유출한다고 협박하여 피해자가 돈을 지불하도록 강제하는 수단으로 사용됩니다.
피해자가 그룹의 Tor 결제 사이트를 방문하면 'Locked by Ranzy Locker' 메시지와 공격자와 협상이 가능한 라이브 채팅 화면을 보게됩니다.
랜섬웨어 운영자는 피해자에게 무료로 파일 3개를 복호화해 해독기가 실제로 파일을 복구할 수 있음을 증명합니다.
<Ranzy Locker의 Tor 결제 사이트>
랜섬머니를 지불하지 않은 피해자에게서 훔친 문서는 Ranzy Locker의 데이터 유출 사이트인 Ranzy Leak에 게시됩니다.
해당 유출 사이트에서 사용한 도메인은 과거 Ako 랜섬웨어에서도 사용했습니다. 해당 랜섬웨어 공격자는 Ako 랜섬웨어의 브랜드를 ThunderX, Ranzy Locker로 변경했습니다.
ThunderX는 2020년 8월 말 시작되었습니다. 하지만 출시된지 한 달 후 Tesorion에서 암호화의 약점을 발견하여 무료 암호화 툴을 만들 수 있었습니다.
그 후 얼마 지나지 않아, 랜섬웨어 운영자는 버그를 수정 후 랜섬웨어의 새로운 버전을 ‘Ranzy Locker’라는 이름으로 출시했습니다.
FBI는 또한 Ranzy Locker 공격에 사용된 전술, 권장되는 완화법, 공격을 탐지 및 방어하는데 사용할 수 있는 침해 지표, YARA 규칙을 담은 기술적 세부 정보를 제공했습니다.
현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Ransom.Filecoder’로 탐지 중입니다.
출처:
https://www.ic3.gov/Media/News/2021/211026.pdf
https://www.tutorialjinni.com/ranzy-ransomware-sample-download.html (IOC)
Apache Storm, 안전하지 않은 사전인증 역직렬화 취약점(CVE-2021-40865) 주의! (0) | 2021.10.27 |
---|---|
연구원들, 텔 아비브의 샘플링 와이파이 네트워크 70% 해킹 성공해 (0) | 2021.10.27 |
BillQuick Web Suite의 SQL 인젝션 취약점, 랜섬웨어 배포에 악용돼 (0) | 2021.10.26 |
수백만 안드로이드 사용자, 구독 사기 캠페인의 타깃이 돼 (0) | 2021.10.26 |
임의 코드 실행으로 이어질 수 있는 Cisco SD-WAN 내 취약점 발견 (0) | 2021.10.25 |
댓글 영역