.jpg)
MySQL에 브루트포스로 침투한 뒤 데이터를 빼내고 원본 삭제해
0.08 비트코인 요구...내지 않을 경우 데이터를 전부 판매하겠다고 ‘이중 협박’
[보안뉴스 문가용 기자] 현재 진행 중인 랜섬웨어 캠페인이 새롭게 발견됐다. 이 캠페인 및 랜섬웨어의 이름은 ‘플리즈리드미(PLEASE_READ_ME)’이며, MySQL 데이터베이스 서버들을 겨냥해 진행되고 있다. 현재까지 최소 8만 5천여 개의 서버들이 침해됐으며, 이 캠페인의 운영자들은 25만여 개의 데이터베이스를 판매용으로 내놓은 상태다.
[이미지 = utoimage]
공격자들의 기법이 매우 단순하다는 것이 이 캠페인의 재미있는 점이다. 현재 이들은 1) 인터넷에 연결된 MySQL 서버를 검색하고, 2) 약한 비밀번호를 대입하여 접속한다는 두 가지 단계의 공격을 실시하고 있다. 참고로 인터넷에 연결된 MySQL 서버는 전 세계적으로 500만 개에 이르는 상태라고 한다. 이 캠페인은 최소 지난 1월부터 진행된 것으로 분석되고 있다.
보안 업체 가디코어(Guardicore)가 자사 블로그를 통해 이를 대대적으로 공개했는데, “공격자들은 브루트포스 공격을 성공시킨 후 데이터베이스에 여러 가지 요청문을 실행시킴으로써 데이터를 수집한다”고 설명했다. 해당 게시글의 작성자이자 가디코어의 연구원인 오피르 하파즈(Ophir Harpaz)와 옴리 마롬(Omri Marom)은 “이 과정이 끝나면 파일이 집으로 압축돼 공격자의 서버로 전송된다”고 썼다. 마무리로 원래 파일들은 전부 삭제된다고 한다.
데이터의 사본을 확보하고, 원본을 다 지운 공격자는 WARNING이라는 이름의 협박 편지를 DB에 남긴다. 9일 안에 0.08 비트코인을 지불하면 모든 걸 되돌려주겠다는 내용이다. 만약 이를 거부할 경우 해당 데이터는 경매 방식으로 판매할 것이라는 내용도 포함되어 있다. 이런 방식을 통해 공격자들은 10개월 동안 2만 5천여 달러 이상의 수익을 올린 것으로 가디코어는 보고 있다.
플리즈리드미 캠페인은 최근의 랜섬웨어 공격자들 사이에서 유행하는 ‘표적 공격’ 형태를 완전히 벗어나 있으며, 심지어 파일을 암호화 하지도 않는다는 점에서 독특하다. 표적 공격을 하기 위해 네트워크에 침투한 뒤 꽤 오랜 시간 머물며 이런 저런 조사를 하고 횡적으로 움직이는 과정은 없고, 단순 스캔과 브루트포스 공격으로 잠깐 접속해 공격을 진행하고 빠져나간다는 게 가디코어의 설명이다.
어찌 보면 상당히 고전적이라고도 할 수 있으며, ‘파일레스(fileless)’ 공격의 일종이라고도 볼 수 있다. 실제 “바이너리가 전혀 없는 공격”이라고 가디코어 측은 설명하고 있다. “쿼리문을 실행시키고 정보를 빼돌리는 스크립트만이 있을 뿐입니다. 바이너리 페이로드는 하나도 사용되지 않기 때문에 은밀합니다. 또한 백도어용 사용자 계정을 DB에 추가해 지속적으로 접속하기도 합니다.”
공격자들은 1월에만 하더라도 피해자들에게 공격자 자신의 지갑에 비트코인을 직접 입금하라고 요구했었다. ‘네 정보는 내가 가지고 있으니, 되돌려 받고 싶으면 돈을 내라’는 게 이들의 요구였다. 하지만 10월부터는 ‘돈을 내지 않으면 이 정보를 공개하겠다’는 협박이 추가로 들어가기 시작했다. 즉, 이중 협박 전략을 채택한 것이다. 공격자들은 토르 네트워크에 데이터 공개 및 지불 활성화용 사이트를 개설하기도 했다. 현재 이 사이트에는 8만 3천여 개의 MySQL 서버들에서 나온 25만여 개의 데이터베이스 목록이 공개되어 있는 상태다.
플리즈리드미 캠페인은 현재도 진행 중에 있다. 또한 스캔을 통해 MySQL 서버를 찾고 브루트포스 기법을 활용하는 면도 여전히 동일하다. 가디코어는 블로그를 통해 “운영자들이 이중 협박 전략을 채택했다는 건, 공격의 규모를 키우겠다는 뜻”이라며, “현재 이 공격이 어떤 식으로 변할지 모르지만 더 위협적이 될 것이 분명하다”고 경고했다.
3줄 요약
1. MySQL 노리는 대형 랜섬웨어 캠페인 발견됨.
2. 데이터를 빼돌리고 원본 지운 상태에서 협박 편지 남겨 둠.
3. 따라서 파일레스 공격에 해당됨. 하지만 주요 침투 기법은 단순 브루트포스.
[국제부 문가용 기자(globoan@boannews.com)]
0.08 비트코인 요구...내지 않을 경우 데이터를 전부 판매하겠다고 ‘이중 협박’
[보안뉴스 문가용 기자] 현재 진행 중인 랜섬웨어 캠페인이 새롭게 발견됐다. 이 캠페인 및 랜섬웨어의 이름은 ‘플리즈리드미(PLEASE_READ_ME)’이며, MySQL 데이터베이스 서버들을 겨냥해 진행되고 있다. 현재까지 최소 8만 5천여 개의 서버들이 침해됐으며, 이 캠페인의 운영자들은 25만여 개의 데이터베이스를 판매용으로 내놓은 상태다.
[이미지 = utoimage]
공격자들의 기법이 매우 단순하다는 것이 이 캠페인의 재미있는 점이다. 현재 이들은 1) 인터넷에 연결된 MySQL 서버를 검색하고, 2) 약한 비밀번호를 대입하여 접속한다는 두 가지 단계의 공격을 실시하고 있다. 참고로 인터넷에 연결된 MySQL 서버는 전 세계적으로 500만 개에 이르는 상태라고 한다. 이 캠페인은 최소 지난 1월부터 진행된 것으로 분석되고 있다.
보안 업체 가디코어(Guardicore)가 자사 블로그를 통해 이를 대대적으로 공개했는데, “공격자들은 브루트포스 공격을 성공시킨 후 데이터베이스에 여러 가지 요청문을 실행시킴으로써 데이터를 수집한다”고 설명했다. 해당 게시글의 작성자이자 가디코어의 연구원인 오피르 하파즈(Ophir Harpaz)와 옴리 마롬(Omri Marom)은 “이 과정이 끝나면 파일이 집으로 압축돼 공격자의 서버로 전송된다”고 썼다. 마무리로 원래 파일들은 전부 삭제된다고 한다.
데이터의 사본을 확보하고, 원본을 다 지운 공격자는 WARNING이라는 이름의 협박 편지를 DB에 남긴다. 9일 안에 0.08 비트코인을 지불하면 모든 걸 되돌려주겠다는 내용이다. 만약 이를 거부할 경우 해당 데이터는 경매 방식으로 판매할 것이라는 내용도 포함되어 있다. 이런 방식을 통해 공격자들은 10개월 동안 2만 5천여 달러 이상의 수익을 올린 것으로 가디코어는 보고 있다.
플리즈리드미 캠페인은 최근의 랜섬웨어 공격자들 사이에서 유행하는 ‘표적 공격’ 형태를 완전히 벗어나 있으며, 심지어 파일을 암호화 하지도 않는다는 점에서 독특하다. 표적 공격을 하기 위해 네트워크에 침투한 뒤 꽤 오랜 시간 머물며 이런 저런 조사를 하고 횡적으로 움직이는 과정은 없고, 단순 스캔과 브루트포스 공격으로 잠깐 접속해 공격을 진행하고 빠져나간다는 게 가디코어의 설명이다.
어찌 보면 상당히 고전적이라고도 할 수 있으며, ‘파일레스(fileless)’ 공격의 일종이라고도 볼 수 있다. 실제 “바이너리가 전혀 없는 공격”이라고 가디코어 측은 설명하고 있다. “쿼리문을 실행시키고 정보를 빼돌리는 스크립트만이 있을 뿐입니다. 바이너리 페이로드는 하나도 사용되지 않기 때문에 은밀합니다. 또한 백도어용 사용자 계정을 DB에 추가해 지속적으로 접속하기도 합니다.”
공격자들은 1월에만 하더라도 피해자들에게 공격자 자신의 지갑에 비트코인을 직접 입금하라고 요구했었다. ‘네 정보는 내가 가지고 있으니, 되돌려 받고 싶으면 돈을 내라’는 게 이들의 요구였다. 하지만 10월부터는 ‘돈을 내지 않으면 이 정보를 공개하겠다’는 협박이 추가로 들어가기 시작했다. 즉, 이중 협박 전략을 채택한 것이다. 공격자들은 토르 네트워크에 데이터 공개 및 지불 활성화용 사이트를 개설하기도 했다. 현재 이 사이트에는 8만 3천여 개의 MySQL 서버들에서 나온 25만여 개의 데이터베이스 목록이 공개되어 있는 상태다.
플리즈리드미 캠페인은 현재도 진행 중에 있다. 또한 스캔을 통해 MySQL 서버를 찾고 브루트포스 기법을 활용하는 면도 여전히 동일하다. 가디코어는 블로그를 통해 “운영자들이 이중 협박 전략을 채택했다는 건, 공격의 규모를 키우겠다는 뜻”이라며, “현재 이 공격이 어떤 식으로 변할지 모르지만 더 위협적이 될 것이 분명하다”고 경고했다.
3줄 요약
1. MySQL 노리는 대형 랜섬웨어 캠페인 발견됨.
2. 데이터를 빼돌리고 원본 지운 상태에서 협박 편지 남겨 둠.
3. 따라서 파일레스 공격에 해당됨. 하지만 주요 침투 기법은 단순 브루트포스.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)