공격자들은 랜섬웨어를 확산시키기 위해 Active Directory를 '무기화'했습니다.
S4x20 회의 – 마이애미 – ICS (Industrial Control System) 부문이 랜섬웨어 공격의 가장 좋아하는 대상 중 하나가되었다는 징후가 더 많이 나타납니다. 업계는 최근 Ryuk에 의해 타격을 받았습니다.
사고 대응 및 기타 보안 서비스를 수행하는 ThreatGen의 설립자이자 CEO 인 Clint Bodungen은 지난해 말 미국 해안 경비대가 해양 안전 정보 게시판에서 공개 한 랜섬웨어 공격이보다 광범위한 Ryuk 랜섬웨어 공격의 일부일 것이라고 믿고 있습니다. 그의 회사의 석유 및 가스 조직 고객 중 두 명을 피해자로 포함시키는 캠페인.
16 년 2019 월 30 일 해안 경비대는 피싱 이메일에서 사용자가 악의적 인 링크를 열어서 시작하여 Ryuk이 피해자를 잠그도록 시작한 MTSA (Maritime Transportation Security Act) 규제 시설에서 Ryuk 랜섬웨어 공격에 대해 경고했습니다. IT 네트워크에서 "중요한"파일 중 Ryuk은 또한화물 운송을 모니터링하고 제어하는 시스템으로 확산되어 궁극적으로 사고 대응 중 시설의 "XNUMX 차 작업"을 XNUMX 시간 동안 중단했습니다.
Coast Guard는“시설에 미치는 영향은 시설 전체를 넘어서 전체 기업 IT 네트워크의 중단, 카메라 및 물리적 액세스 제어 시스템의 중단 및 중요한 프로세스 제어 모니터링 시스템의 손실을 포함했습니다. 경고.
해안 경비대 경보는 Bodungen의 관심을 끌었습니다. Bodungen은“Coast Guard가 고객 중 한 명에 대해 직접 이야기하고 있는지는 모르겠지만 데이터는 상대적으로 충분히 근접하여 고객 중 한 명이라도 '우리에 대해 이야기하고 있습니까?'라고 생각했습니다. 랜섬웨어 사건에 대해 오늘 여기에서 프레젠테이션을 할 예정입니다.
어느 쪽이든, 석유 및 가스 희생자 XNUMX 명 모두에 대해 사용 된 전술, 기법 및 절차 (TTP)는 유사했으며, 이는 류큐 공격자들이 해당 부문을 구체적으로 목표로하고 있음을 나타냅니다. 그의 석유 및 가스 고객 외에도 멕시코 페 멕스 공격 XNUMX 월에는 그가 알고있는 두 개의 추가 석유 및 가스 회사도 있습니다.
"TTP가 비슷하기 때문에 하나의 캠페인처럼 느껴집니다."라고 그는 말합니다. 랜섬웨어 공격으로 인해 적어도 한 명의 고객이 Coast Guard와 ICS-CERT에 연락했습니다.
Wizard Spider로 알려진 러시아 사이버 범죄 그룹이 만든 랜섬웨어 변종 인 Ryuk은보다 수익성있는 랜섬 지불을 목표로 대기업 및 조직을 대상으로하는 것으로 유명합니다. 2019 년 377,000 분기 기준, Ryuk 공격의 평균 초기 몸값 요구는 $ XNUMX입니다. 코브웨어의 데이터에 따르면.
멀웨어가 뒤에있었습니다 여러 지방 정부의 공격여기에는 600,000 만 달러의 몸값을 지불 한 플로리다 주 리비에라 비치와 460,000 만 달러의 기침을 한 플로리다 주 레이크 시티에 대한 공격이 포함됩니다. 뉴 올리언스는 또한 류크와 충돌 최근에 중매 공격.
Bodungen은 자신의 석유 및 가스 부문 고객 중 누구도 몸값 요구를 지불하지 않았다고 말했다. 그는 공개적으로 이름을 밝히지 않겠다고 약속 한 고객을 식별하는 데 사용될 수있는 우려에서 실제 몸값을 공개하지 않았다. 그는 오늘 TTP가 고객과의 IR 계약에서 수집 한 TTP를 공유 할 계획입니다.
US Coast Guard에 도달하려는 노력은이 게시물을 작성하는 데 실패했습니다.
공격
공격자들은 랜섬웨어 공격 자체를 시작하기 전에 몇 달 동안 ThreatGen의 석유 및 가스 고객 네트워크에서 모두 휴면 상태에있었습니다. 초기 침투는 한 사례에서는 스피어 피싱 이메일로 시작되었고 다른 사례에서는 워터 홀링 공격으로 악명 높은 Trickbot 백도어가 심어 졌다고 Bodungen은 말합니다. Trickbot은 일반적으로 공격자가 피해자 네트워크를 통해 조용히 이동하여 공격의 랜섬웨어 단계에서 잠글 수있는 잠재적으로 민감한 데이터의 위치를 식별하는 데 사용됩니다.
공격자는 RDP (원격 데스크톱 프로토콜)를 통해 피해자의 Active Directory 서버를 해킹했습니다. “그들은 실제로 Trickbot이 아닌 Ryuk을 AD [로밍] 로그인 스크립트에 넣어 AD를 무기화했습니다. 따라서 그 AD 서버에 로그인 한 사람은 누구나 즉시 감염되었습니다. "라고 Bodungen은 말합니다.
예를 들어, 엔지니어가 자신의 워크 스테이션에서 로그인하자마자 페이로드는 사용자를 컴퓨터에서 떨어 뜨리고 실행하며 잠 그게됩니다.
해안 경비대 경보가 피해자의 네트워크에서 Ryuk에 의해 산업 시스템이 공격을 받았다고 말했지만 Bodungen은 회사가 조사한 석유 및 가스 회사의 경우는 그렇지 않았습니다.
"일부 엔지니어링 워크 스테이션과 [HMI 및 기타] 터미널이 감염되어 발생하기 시작하자마자 [산업 시스템으로] 수동 전환을 수행했습니다." “Ryuk은 산업 공정을 종료하지 않았습니다. 모니터링,보기 및 제어 기능을 사용할 수 없게되었습니다.
Ryuk은 해안 경비대 경보가 나타내는 것처럼 석유 및 가스 고객의 물리적 보안 카메라 또는 물리적 출입 통제를 직접 감염시키지 않았다고 말했다. 대신 Bodungen에 따르면 플랜트가“격리”되어 공격의 확산을 막기 위해 ThreatGen의 IR 조사 중에 해당 시스템에 대한 네트워크 링크가 일시적으로 중단되었습니다. 전체적으로, 두 석유 및 가스 조직은 IR 계약 기간 동안 24 시간에서 72 시간으로 다운되었습니다.
한편 지난 달 말 트렌드 마이크로는 석유 및 가스 산업이 랜섬웨어 공격의 위험에 점점 더 취약 해 졌다고 경고했다. 이 보안 회사는 미국의 석유 및 천연 가스 회사의 사례를 대상으로 랜섬웨어 공격을 받았으며 클라우드 백업뿐 아니라 30 대의 컴퓨터 만 영향을 받았습니다. 감염된 시스템은 "필수"회사 데이터를 호스팅하고 회사에 약 XNUMX 천만 달러의 손실이 발생했습니다.
"이 사건에 대한 추가 세부 정보는 없지만 공격자는이 공격을 신중하게 계획하고 대규모 감염으로 회사를 공격하는 대신 몇 가지 전략적 컴퓨터를 목표로 삼을 수 있다고 생각합니다." 신고 발행했다.
나쁜 소식 백업
백업 시스템에서 복원 된 ThreatGen의 Ryuk 희생자 클라이언트 중 한 명이 역효과를 냈습니다. Bodungen은 공격자가 몇 달 동안 네트워크에 있었기 때문에“백업에서 복원하면 손상된 상태로 복원되었습니다”라고 설명합니다.
공격자들이 감염의 조용한 단계에 대한 동기가 무엇인지 확실하지 않습니다. 때때로이 접근 방식은 랜섬웨어 페이로드를 트리거하기위한 정찰 및 타이밍에 관한 것입니다. 또 다른 가능한 각도가 있습니다. 예를 들어, 국가 국가는 네트워크에서 발견 될 경우이 전략을 적용 할 수 있습니다.
"나중에 사용하기 위해 발판을 마련하고 잡히면 Ryuk과 같은 랜섬웨어를 즉시 [전술]로 배포 할 수 있습니다."라고 그는 말합니다. "그러면 바라건대 그들은 타협 된 상태로 되돌아 가고 [공격자]는 잠시 동안 누워 있습니다."
결론은 감염된 상태에서 백업이 수행되면 신뢰할 수 없기 때문에 이러한 경우 다음 단계는 하드 드라이브를 교체하는 것이라고 Bodungen은 말합니다.
ICS 보안 회사 PAS Global의 창립자이자 CEO 인 Eddie Habibi는 OT 및 기타 조직이 시스템의 "깨끗한"사본을 유지하도록 권장합니다. "랜섬웨어 사람들에게 노크를하도록 지시 할 수 있어야합니다."라고 그는 말합니다. "시스템을 종료하고 처음부터 다시 시작할 준비를하십시오."
Habibi는 랜섬웨어 공격이 잠재적으로 위험한 결과를 초래하는 산업 회사에 대한 공격이 증가 할 것으로 예상합니다. 랜섬을 위해 화학 플랜트 시스템을 보유하는 것은“비즈니스를 종료하는 것보다 더 심각한 네트워크”이기 때문에 공격자에게는 더 유리할 수 있습니다.
관련 콘텐츠 :
Kelly Jackson Higgins는 Dark Reading의 편집장입니다. 그녀는 수상 경력에 빛나는 베테랑 기술 및 비즈니스 저널리스트로 네트워크 컴퓨팅, 보안 엔터프라이즈를 비롯한 다양한 출판물에 대한보고 및 편집 분야에서 XNUMX 년 이상의 경험을 가지고 있습니다. 전체 자료보기
더 많은 통찰력
