랜섬웨어 조직 엘도라도, 17개 피해 기업 중 하나로 국내 기업 ‘커브’ 공개

2024-09-03 14:44
  • 카카오톡
  • 네이버 블로그
  • url
랜섬웨어 조직 엘도라도, 운영 사이트에 랜섬웨어 피해 기업으로 한국 기업 커브 공개
27일 커브 몸값 200달러에서 1.5 BTC, 대략 한화 1억 2,000만원으로 금액 올려 판매 유도
엘도라도, 올해 첫 등장한 신규 조직으로 17개 피해 기업 공개


[보안뉴스 김경애 기자] 올해 처음 등장한 랜섬웨어 조직 엘도라도(ELDORADO)가 그들이 운영하는 사이트에 랜섬웨어 피해 기업으로 국내 데브옵스(DevOps) 전문 컨설팅 기업 ‘커브’를 공개했다. 한국 기업으로는 첫 피해 기업으로 올라온 만큼 이들 조직의 랜섬웨어 공격 피해를 입지 않도록 기업, 기관, 개인의 각별한 주의가 요구된다.


▲엘도라도 랜섬웨어 조직이 자신이 운영하는 사이트에 공개한 랜섬웨어 공격을 받은 피해 기업 화면[이미지=보안뉴스]

<보안뉴스>가 단독 입수해 엘도라도가 운영하는 랜섬웨어 사이트를 살펴본 결과, 해당 조직이 공개한 피해 기업은 총 17곳이며, 국가별로는 미국, 콩고, 이탈리아, 크로아티아, 한국 등이 포함됐다. 업종도 안경 및 보안경, 통신 솔루션, 인력 파견 서비스, 교육기관, 유조선, 부동산, 전문 청소 서비스 등 다양하다.

이 가운데 랜섬웨어 피해 기업으로 한국 기업 커브도 포함돼 있다. 엘도라도가 공개한 커브는 ‘18words·Omin read’로 표기돼 있다. 특히 주목되는 건 해커조직이 제안한 데이터 거래금액과 관련해 약 50분 만에 가격을 올려 거래를 제안했다는 점이다.

엘도라도가 주고받은 메시지를 살펴보면 엘도라도는 UTC 기준으로 지난 8월 27일 오전 10시 13분경 커브의 샘플 파일 링크 공개와 함께 20,000달러(2,668만 6,000원)를 요구했다. 그러나 약 50분이 지난 이후인 오전 11시 4분경 1.5 BTC로 대략 한화 1억 2,000만원으로 금액을 올려 거래를 제안했다.

<보안뉴스>는 피해 여부에 대한 사실 확인을 위해 해당 기업에 이 같은 사실을 알렸다. 이와 관련 커브 관계자는 “시험용으로 사용하고 있던 윈도우 PC가 랜섬웨어에 감염됐다”며 “내부 조사 결과 시험 용도로 사용했던 윈도우 PC가 윈도우 보안 프로그램 업그레이드 누락으로 윈도우 원격 접속의 취약점을 통해 침입한 것으로 파악된다”고 밝혔다.

이어 커브 관계자는 “한국인터넷진흥원(KISA)에 즉시 랜섬웨어 감염 사실을 신고했으며, KISA와 함께 침입경로 등에 대한 상세조사와 함께 대응절차를 진행하고 있다”며 “업무 시스템은 클라우드 기반으로 운영되고 있어 로컬 시험 서버의 랜섬웨어 감염에 따른 피해와 정보 유출은 없으며, 해당 시스템의 시험용 데이터만 유출돼 서버를 차단한 후 해커의 금전 요구에 응하지 않자 다크웹에 게시한 것으로 보인다”고 전했다.

그러면서 이번 사건으로 보안 패치의 중요성을 체감하고 보안관리 체계를 보다 촘촘하게 보완하는 계기가 되었다고 덧붙였다.

이와 관련 리니어리티 한승연 대표는 “대기업이 랜섬웨어 공격을 당하면 큰 이슈가 되기 때문에 대기업만이 랜섬웨어의 주요 타깃이 된다고 생각하기 쉽다”며 “그러나 실제로 랜섬웨어 조직들의 사이트를 보면 중소기업이나 중견기업의 정보도 다수 포함되어 있는 것을 확인할 수 있다”고 말했다.

이어 한 대표는 “보안 투자가 부족한 기업들은 랜섬웨어 공격으로 인해 복구가 불가능한 수준의 피해를 입을 수 있다”며 “따라서 기업들은 랜섬웨어 조직들의 공격 유형을 파악하고, 공격 과정 중 일부라도 탐지할 수 있도록 최소한의 대응조치를 취해야 한다”라고 강조했다.

한편, 올해 처음 등장한 엘도라도는 랜섬웨어 조직의 대표가 러시아어를 사용하는 것으로 알려져 있다. Group-IB 분석에 따르면 “조직 대표가 러시아어를 구사하고, 윈도우와 리눅스용 두 가지 버전의 멀웨어가 있다”며 “엘도라도 랜섬웨어는 흔적을 제거하기 위해 파워셸 명령을 실행해 파일을 삭제하기 전에 임의의 바이트로 덮어쓰고, 감염 과정을 숨기기 위해 작업이 수행되지 않는 명령어를 사용하는 등 고도의 전문성을 갖춘 조직”이라고 분석했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 프로브디지털

    • 인텔리빅스

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 세연테크

    • 비전정보통신

    • 디비시스

    • 동양유니텍

    • 스피어AX

    • 투윈스컴

    • 아이리스아이디

    • 한결피아이에프

    • 유에치디프로

    • 위트콘

    • 주식회사 에스카

    • 포엠아이텍

    • 세렉스

    • 안랩

    • 이글루코퍼레이션

    • 엔피코어

    • 시만텍

    • 트렐릭스

    • 스텔라사이버

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 미래시그널

    • 케이제이테크

    • 알에프코리아

    • 유투에스알

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에스에스티랩

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 구네보코리아주식회사

    • 티에스아이솔루션

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 넥스트림

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 이오씨

    • 글로넥스

    • 메트로게이트
      시큐리티 게이트

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기