FBI, Cuba 랜섬웨어가 미국의 주요 인프라 조직 49곳 침해했다고 발표

FBI: Cuba ransomware breached 49 US critical infrastructure orgs

 

FBI가 Cuba 랜섬웨어 그룹이 미국의 주요 인프라 내 조직 최소 49곳의 네트워크를 해킹했다고 발표했습니다.

 

"FBI는 2021년 11월 초 Cuba 랜섬웨어 공격자가 금융, 정부, 의료, 제조, IT 부문을 포함한 핵심 인프라 부문 5개의 조직들 최소 49곳을 해킹한 것으로 확인했습니다.”

 

FBI는 또한 이 랜섬웨어 그룹이 미국 기업을 타깃으로 공격하기 시작한 이후 4천만 달러 이상을 벌어들였다고 덧붙였습니다.

 

"Cuba 랜섬웨어 공격자는 랜섬머니로 최소 7,400만 달러를 요구했으며, 최소 4,390만 달러를 벌어들였습니다."

 

이와 같은 사실은 CISA와 공동 발행한 플래시 경보를 통해 공개되었습니다. 해당 경보에서는 Cuba 랜섬웨어와 관련된 IoC 또한 공개했습니다.

 

Cuba 랜섬웨어, Hancitor 통해 배포돼

 

Cuba 랜섬웨어는 Hancitor 악성코드 다운로더를 통해 피해자의 네트워크에 배포되며, 랜섬웨어 그룹은 이를 통해 이전에 해킹된 기업 네트워크에 더 쉽게 접근할 수 있었습니다.

 

Hancitor(Chancitor)는 인포 스틸러, 원격 액세스 트로이 목마(RAT), 랜섬웨어 등을 배포하는 것으로 알려져 있습니다.

 

Zscaler는 해당 악성코드가 Vawtrak 인포 스틸링 트로이목마를 배포하는 것을 발견했습니다. 하지만 그 이후에는 Pony와 Ficker, 그리고 최근에는 Cobalt Strike를 포함한 패스워드 스틸러를 배포하기 시작했습니다.

 

Hancitor는 피해자의 시스템에 침투하기 위해 피싱 이메일과 훔친 크리덴셜을 사용하거나, 마이크로소프트 익스체인지 취약점을 악용하거나, RDP(원격 데스크톱 프로토콜) 툴을 통해 침입을 시도합니다.

 

Cuba 랜섬웨어의 운영자는 Hancitor를 통해 얻은 접근 권한을 사용하여 합법적인 윈도우 서비스 (예: PowerShell, PsExec, 기타 다양한 서비스)를 통해 원격으로 랜섬웨어 페이로드를 배포하고 파일을 암호화 후 ".cuba" 확장자를 붙입니다.

 

FBI, Cuba 랜섬웨어 공격과 관련된 정보 요청해

 

또한 FBI는 플래시 경보를 통해 기업 네트워크 내에서 Cuba 랜섬웨어 활동을 탐지할 경우 현지 FBI 측에 관련된 모든 정보를 공유할 것을 요청했습니다.

 

이는 해당 랜섬웨어 그룹의 공격자를 식별하기 위함이며, "외부 IP 주소와의 통신을 보여주는 바운더리 로그, 비트코인 ​​지갑 정보, 복호화기 파일, 암호화된 파일의 무해한 샘플"이 포함됩니다.

 

FBI는 랜섬웨어에 돈을 지불하지 말 것을 권장했습니다. 돈을 지불 한다고 해서 추후 발생할 데이터 유출이나 추가 공격을 방지할 수 있다는 확실한 보장이 없기 때문입니다.

 

또한 돈을 지불함으로써 랜섬웨어가 더 많은 피해자를 공격하도록 동기를 부여할 수 있으며, 다른 사이버 범죄 그룹이 유사한 공격을 수행하는데 참여하도록 장려하게 될 수 있습니다.

 

하지만 FBI는 랜섬웨어가 미치는 피해가 크기 때문에 경영진이 주주, 고객, 직원을 보호하기 위해 랜섬머니를 지불할지 여부를 고려해야 할 수 있음을 인지하고 있다고 밝혔습니다.

 

FBI는 이러한 사고가 발생할 경우 지역 FBI 측에 신고할 것을 강력히 권고했습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.WebShell.P.1’로 탐지 중입니다.

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/fbi-cuba-ransomware-breached-49-us-critical-infrastructure-orgs/

https://www.ic3.gov/Media/News/2021/211203-2.pdf (IOC)