미국 연방수사국(FBI)이 쿠바 랜섬웨어를 경고했다.
미국 온라인 테크 매체 지디넷은 미국 주요 기반 시설 부문 5곳과 관련된 기관 49곳이 쿠바 랜섬웨어 공격을 받은 소식을 보도했다.
지금까지 랜섬웨어 공격 대상이 된 단체는 금융 기관과 정부 기관, 헬스케어 기관, 제조 기업, 정보통신 부문 등이다. 쿠바 랜섬웨어 조직은 한시터(Hancitor) 멀웨어를 동원해 윈도 시스템에 접근하려 했으며, 미국 기관에 데이터 암호화 해제 비용으로 요구한 금액은 총 4,390만 달러이다.
FBI는 경고문을 통해 "쿠바 세력이 원격 접속 트로이목마(RAT)를 포함해 정보를 탈취하려 하는 것으로 악명 높은 한시터 악성코드를 피해자 네트워크에 유포했다"라며, 암호화 파일의 확장자가 '.cuba'라는 점에 주목했다.
이번 공격에 등장한 한시터 멀웨어는 피싱 메일과 마이크로소프트 익스체인지(Microsoft Exchange) 취약점, 보안 공격을 당한 기밀 정보, 정통한 원격 데스크톱 프로토콜(RDP) 툴 등을 이용해 피해자 네트워크 접근 권한을 얻는다. 쿠바 랜섬웨어 조직은 파워셸(PowerShell), PsExec 등 합법 윈도 서비스를 이용한 뒤, 윈도 관리자 특권을 이용하여 원격 공격을 개시했다.
이후 쿠바 랜섬웨어 조직은 보안 공격 개시 후, 피해자 시스템에 코발트스트라이크(CobaltStrike) 비콘을 설치하고 실행하면서 원격 실행이 가능한 악성 파일 2개를 다운로드한다. 그리고, 설치한 악성 파일을 이용해 패스워드를 탈취하고는 피해자의 시스템에 TMP 파일을 작성한다.
TMP 파일 설치 후, krots.exe 파일 삭제와 동시에 TMP 파일이 실행된다. TMP 파일은 메모리 주입 관련 API 실행 후 삭제돼, 몬테네그로 URL에 저장된 멀웨어 저장소와 커뮤니케이션을 시작한다.
또한, FBI는 한시터 멀웨어와 함께 미미카츠(MimiKatz) 멀웨어를 이용해 기밀 정보를 탈취하고는 RDP를 이용해 특정 사용자 계정으로 보안 공격을 당한 네트워크 호스트에 접속했다. RDP 연결 완료 후 코발트스트라이크 서버를 이용해 보안 공격 피해자 계정에 연결한다.
한편, 사이버 보안 기업 엠시소프트(Emsisoft) 위협 애널리스트인 브렛 칼로우(Brett Callow)는 쿠바 랜섬웨어 조직이 위협적인 활동을 개시하기로 악명 높은 조직이 아닌데도 랜섬웨어로 거액을 갈취하려 한 사실에 주목했다.
그는 "쿠바 랜섬웨어 조직의 공격이 다른 조직보다 위협적이지 않지만, 지금까지 요구한 데이터 암호화 해제 값만 보더라도 랜섬웨어 자체가 사이버 범죄 조직이 쉽게 큰돈을 만질 수 있는 공격 수법임을 시사한다. 한편으로는 랜섬웨어 자체가 대응이 어렵다는 사실을 나타내기도 한다"라고 언급했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
