혼다의 일부 서비스 마비시킨 멀웨어...분석해 보니 스네이크일 가능성 높아
스네이크 랜섬웨어, 표적형 공격으로 ICS와 SCADA 노리는 것으로 알려져
[보안뉴스 문가용 기자] 스네이크(Snake)라는 이름의 랜섬웨어가 최근 유명 조직들을 공격해 곤경에 빠트렸다. 하나는 일본의 대기업 혼다이고, 다른 하나는 남미의 에너지 사업자인 에넬 아르헨티나(Enel Argentina)다. 스네이크는 산업 통제 시스템과 SCADA를 주로 노리는 랜섬웨어라고 알려져 있다.
[이미지 = utoimage]
먼저 혼다는 지난 월요일, “기술적인 문제가 발생해 일부 서비스가 불가능하다”는 내용의 트윗을 발표했다. 그리고 BBC 인터뷰를 통해 사이버 공격에 당했다고 말했다. 혼다의 대변인은 포브스와의 인터뷰에서 “미국 내 공장들의 생상 라인 일부에 차질이 생겼다”고 밝히며, “개인정보나 민감 정보가 밖으로 새나갔다는 증거는 아직 찾을 수 없었다”고 말했다.
일부 전문가들은 이미 해당 공격에 사용된 멀웨어의 샘플을 분석했고, 스네이크 랜섬웨어의 가능성이 가장 크다고 결론을 내린 상태다. 스네이크는 지난 1월 처음 발견된 랜섬웨어로, 고(Go) 언어로 만들어졌으며, 난독화 장치가 꽤나 정교하게 덧입혀져 있다. 또한 산업 통제 시스템과 SCADA를 전문적으로 노린다. 따라서 표적형 공격에 주로 활용될 것으로 추정된다.
보안 업체 케르베르스 센티넬(Cerberus Sentinel)의 부회장인 크리스 클레멘츠(Chris Clements) 역시 혼다 공격에 나온 샘플을 분석했고, 혼다의 IP 주소 및 내부 시스템 이름이 하드코드 되어 있는 것을 발견했다고 자신의 블로그를 통해 공개했다. 즉 이번 랜섬웨어 공격이 표적 공격이었을 가능성이 매우 높다는 것이다.
또한 클레멘츠는 “스네이크 공격자들은 요즘 랜섬웨어 운영자들이 그러하듯 민감한 정보를 미리 빼돌린 후에 파일들을 암호화시킨다”며 “이번에 혼다가 개인정보 등이 빠져나가지 않았다고 발표했는데, 다시 한 번 확인해봐야 할 것”이라고 말하기도 했다. “내부 시스템과 IP 주소들을 멀웨어 내에 하드코드 했다는 건, 공격 전에 충분한 정찰을 했다는 뜻이기도 하며, 따라서 민감한 데이터가 어디에 있는지 알고 있었을 것”이라고도 덧붙였다.
사이너지스텍(Cynergistek)의 CEO인 칼렙 발로우(Caleb Barlow)는 외신인 스레트포스트와의 인터뷰를 통해 스네이크 랜섬웨어는 장비나 PC 하나하나가 아니라 네트워크 전체를 노리는 랜섬웨어라고 설명했다. 즉 랜섬웨어가 발견된 조직에서는 시스템 일부만 손볼 게 아니라 전체 네트워크를 점검해야 한다는 것이다. 그러면서 “매우 파괴적인 특징을 가지고 있는 랜섬웨어”라고 경고하기도 했다.
한편 남미의 대기업인 에넬 아르헨티나도 이번 주 트위터를 통해 “컴퓨터 이상으로 인한 어려움을 겪고 있다”고 알렸다. 이 때문에 고객들에게 제공할 서비스 일부가 마비되었다는 것이다. 그러면서 빠른 시간 안에 모든 것을 정상화 시킬 것이라고 약속했다.
사건을 분석해보니, 혼다에서도 그렇듯 멀웨어 내부에 에넬 아르헨티나를 겨냥한 정보들이 하드코드 되어 있었다. 보안 업체 멀웨어바이츠(Malwarebytes)는 “범인들의 협박 편지에 기재되어 있던 이메일 주소도 같았다”고 말했다. 그러면서 “원격 데스크톱 프로토콜(RDP)이 공격에 악용되었을 수 있다”고 추측하기도 했다. 두 조직 모두 RDP 접근 경로가 열려 있던 상태였기 때문이다.
멀웨어바이츠는 “RDP는 공격자들 사이에서 ‘가장 쉬운 공격 경로 중 하나’로 알려져 있다”며 “RDP 관리를 철저히 하는 것부터 네트워크 보안이 시작된다”고 강조했다. 하지만 “RDP를 통해 스네이크 공격자들이 접근했다는 것은 확실하지 않다”며 “더 상세한 조사를 통해 알아봐야 할 부분”이라고 설명을 추가했다.
3줄 요약
1. 최근 혼다와 에넬 아르헨티나 공격한 멀웨어, 스네이크 랜섬웨어인 듯.
2. 스네이크 랜섬웨어는 산업 시스템을 주로 노리는 파괴적인 랜섬웨어.
3. 공격에 사용된 멀웨어에 표적 공격의 흔적이 발견됨. 데이터 유출됐을 가능성 높음.
[국제부 문가용 기자(globoan@boannews.com)]
스네이크 랜섬웨어, 표적형 공격으로 ICS와 SCADA 노리는 것으로 알려져
[보안뉴스 문가용 기자] 스네이크(Snake)라는 이름의 랜섬웨어가 최근 유명 조직들을 공격해 곤경에 빠트렸다. 하나는 일본의 대기업 혼다이고, 다른 하나는 남미의 에너지 사업자인 에넬 아르헨티나(Enel Argentina)다. 스네이크는 산업 통제 시스템과 SCADA를 주로 노리는 랜섬웨어라고 알려져 있다.
[이미지 = utoimage]
먼저 혼다는 지난 월요일, “기술적인 문제가 발생해 일부 서비스가 불가능하다”는 내용의 트윗을 발표했다. 그리고 BBC 인터뷰를 통해 사이버 공격에 당했다고 말했다. 혼다의 대변인은 포브스와의 인터뷰에서 “미국 내 공장들의 생상 라인 일부에 차질이 생겼다”고 밝히며, “개인정보나 민감 정보가 밖으로 새나갔다는 증거는 아직 찾을 수 없었다”고 말했다.
일부 전문가들은 이미 해당 공격에 사용된 멀웨어의 샘플을 분석했고, 스네이크 랜섬웨어의 가능성이 가장 크다고 결론을 내린 상태다. 스네이크는 지난 1월 처음 발견된 랜섬웨어로, 고(Go) 언어로 만들어졌으며, 난독화 장치가 꽤나 정교하게 덧입혀져 있다. 또한 산업 통제 시스템과 SCADA를 전문적으로 노린다. 따라서 표적형 공격에 주로 활용될 것으로 추정된다.
보안 업체 케르베르스 센티넬(Cerberus Sentinel)의 부회장인 크리스 클레멘츠(Chris Clements) 역시 혼다 공격에 나온 샘플을 분석했고, 혼다의 IP 주소 및 내부 시스템 이름이 하드코드 되어 있는 것을 발견했다고 자신의 블로그를 통해 공개했다. 즉 이번 랜섬웨어 공격이 표적 공격이었을 가능성이 매우 높다는 것이다.
또한 클레멘츠는 “스네이크 공격자들은 요즘 랜섬웨어 운영자들이 그러하듯 민감한 정보를 미리 빼돌린 후에 파일들을 암호화시킨다”며 “이번에 혼다가 개인정보 등이 빠져나가지 않았다고 발표했는데, 다시 한 번 확인해봐야 할 것”이라고 말하기도 했다. “내부 시스템과 IP 주소들을 멀웨어 내에 하드코드 했다는 건, 공격 전에 충분한 정찰을 했다는 뜻이기도 하며, 따라서 민감한 데이터가 어디에 있는지 알고 있었을 것”이라고도 덧붙였다.
사이너지스텍(Cynergistek)의 CEO인 칼렙 발로우(Caleb Barlow)는 외신인 스레트포스트와의 인터뷰를 통해 스네이크 랜섬웨어는 장비나 PC 하나하나가 아니라 네트워크 전체를 노리는 랜섬웨어라고 설명했다. 즉 랜섬웨어가 발견된 조직에서는 시스템 일부만 손볼 게 아니라 전체 네트워크를 점검해야 한다는 것이다. 그러면서 “매우 파괴적인 특징을 가지고 있는 랜섬웨어”라고 경고하기도 했다.
한편 남미의 대기업인 에넬 아르헨티나도 이번 주 트위터를 통해 “컴퓨터 이상으로 인한 어려움을 겪고 있다”고 알렸다. 이 때문에 고객들에게 제공할 서비스 일부가 마비되었다는 것이다. 그러면서 빠른 시간 안에 모든 것을 정상화 시킬 것이라고 약속했다.
사건을 분석해보니, 혼다에서도 그렇듯 멀웨어 내부에 에넬 아르헨티나를 겨냥한 정보들이 하드코드 되어 있었다. 보안 업체 멀웨어바이츠(Malwarebytes)는 “범인들의 협박 편지에 기재되어 있던 이메일 주소도 같았다”고 말했다. 그러면서 “원격 데스크톱 프로토콜(RDP)이 공격에 악용되었을 수 있다”고 추측하기도 했다. 두 조직 모두 RDP 접근 경로가 열려 있던 상태였기 때문이다.
멀웨어바이츠는 “RDP는 공격자들 사이에서 ‘가장 쉬운 공격 경로 중 하나’로 알려져 있다”며 “RDP 관리를 철저히 하는 것부터 네트워크 보안이 시작된다”고 강조했다. 하지만 “RDP를 통해 스네이크 공격자들이 접근했다는 것은 확실하지 않다”며 “더 상세한 조사를 통해 알아봐야 할 부분”이라고 설명을 추가했다.
3줄 요약
1. 최근 혼다와 에넬 아르헨티나 공격한 멀웨어, 스네이크 랜섬웨어인 듯.
2. 스네이크 랜섬웨어는 산업 시스템을 주로 노리는 파괴적인 랜섬웨어.
3. 공격에 사용된 멀웨어에 표적 공격의 흔적이 발견됨. 데이터 유출됐을 가능성 높음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
