대만의 하드웨어 업체 기가바이트도 랜섬웨어 공격에 당했다
| 입력 : 2021-08-09 13:28 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#정보보호 #정보보안 #IT보안 #사이버보안
대만의 대기업 기가바이트가 랜섬웨어에 당했다. 랜섬엑스라는 공격 단체에 당한 것으로 보인다. 이들은 112GB의 내부 정보를 훔쳐냈다고 주장하며 기가바이트를 압박하는 중이다.
[보안뉴스 문가용 기자] 컴퓨터 머더보드 및 각종 하드웨어를 개발하는 유명 대만 회사인 기가바이트(Gigabyte)가 랜섬웨어 공격에 당했다. 기가바이트를 덮친 건 랜섬엑스(RansomExx)라는 랜섬웨어 공격 단체로, 이들의 주장에 따르면 기가바이트로부터 112GB의 데이터를 훔쳐내는 데 성공했다고 한다. 이 내용으로 현재 기가바이트를 압박 중에 있다.
[이미지 = utoimage]
기가바이트는 머더보드뿐만 아니라 랩톱, 모니터, 그래픽카드, 데이터센터용 서버들을 제조하는 거대 기업으로, 대만에 위치해 있다. 하지만 지난 주중 랜섬웨어 공격에 당해 일부 시스템을 중단시켜야만 했다. 사업에 중대한 차질이 있는 건 아니었으나, 랜섬엑스 손에 넘어간 데이터가 유출되면 원치 않는 사태가 발생할 수 있다.
랜섬엑스의 공격으로 기가바이트가 운영하던 웹사이트도 여러 개 침해된 상태다. 여기에는 고객 지원 사이트도 포함되어 있어, 현재 고객들의 불만이 계속해서 접수되고 있는 상황이기도 하다. 다만 기가바이트의 침해로 인해 덩달아 피해를 입은 것으로 알려진 고객들은 아직 발견되지 않는 상황이다.
보안 매체 블리핑컴퓨터는 이 사건을 보도하며 랜섬엑스 그룹은 2018년까지는 디프레이(Defray)라는 이름으로 활동했다가 2020년 6월부터 랜섬엑스로 이름을 바꿨다고 하며, 브랜드를 바꾸면서 활동량도 크게 늘렸다고 설명했다. 랜섬엑스는 윈도 기반 장비는 물론 리눅스와 VM웨어의 가상기계들도 자주 공략하는 것으로 알려져 있다. 공격의 대상이 늘어난 것과 활동량의 증가가 밀접한 관계를 가진 것으로 알려져 있다.
대만의 매체들에 의하면 기가바이트는 최근 자사 네트워크에서 수상한 활동이 발생하고 있음을 탐지하고 사이버 공격에 당했다는 사실을 인지했다고 한다. 기가바이트는 곧바로 IT 시스템들을 차단하고 사법 기관에 이를 알렸다. 하지만 기가바이트는 ‘랜섬엑스’나 ‘랜섬웨어’와 같은 단어들을 발표문에 사용하지 않았다. 이번 공격의 배후 세력으로 랜섬엑스를 꼽은 것은 블리핑컴퓨터다.
블리핑컴퓨터가 입수한 공격자들의 협박 편지에는 협상을 진행하기 위한 이메일 주소와, 피해자들만 접속해 파일 복호화 기능을 확인할 수 있게 해 주는 비밀 페이지 링크가 포함되어 있었다고 한다. 최근 랜섬웨어 공격자들에게 돈을 줘봤자 복호화가 제대로 되지 않기 때문에 소용이 없다는 주장인 보안 업계로부터 나온 것을 의식한 듯한 움직임이다.
랜섬엑스는 원격 데스크톱 프로토콜(RDP)이나 취약점 익스플로잇, 정상 크리덴셜을 통해 피해자의 네트워크에 침투하는 것으로 알려져 있다. 최초 침투에 성공한 후에는 공격 지속성을 확보하며 보다 많은 크리덴셜들을 확보한다. 또한 윈도 도메인 제어기도 장악한다. 즉 네트워크 공간 안에서 ‘횡적으로’ 움직인다는 것이다.
최근 랜섬웨어 운영자들은 횡적 움직임에 집중한다. 랜섬웨어 페이로드를 발동시켰을 때 피해를 최대화하기 위해서이기도 하지만 그 과정에서 최대한 많은 정보를 탈취하기 위해서이기도 하다. 랜섬웨어 공격자들의 이중 협박 전략이 유행할 때까지 이런 식의 움직임은 지속될 것으로 예상된다.
3줄 요약
1. 대만의 대형 하드웨어 업체 기가바이트, 랜섬엑스에 당함.
2. 랜섬엑스 공격자들, 112GB의 데이터를 훔쳤다고 주장하며 기가바이트를 협박.
3. 복호화를 시험해 볼 수 있게 해 주는 비밀 링크도 피해자들에게 전달.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
네이버 사칭, ‘차단한 해외 지역에서 로그인이 시도 되었습니다’ ...
