2018.10.18

랜섬웨어, 허리케인에 이어 노스캐롤라이나 급수시설 타격

Ms. Smith | CSO
허리케인 플로렌스에 의해 타격을 받은 미국 노스캐롤라이나의 급수 시설이 또다시 랜섬웨어의 공격을 받았다.

온슬로 상하수도청(Onslow Water and Sewer Authority, ONWASA)은 지난 9월 허리케인 플로렌스가 휩쓸고 지나간 이후, 상처가 채 가시기도 전에 랜섬웨어 공격을 받았다. 노스캐롤라이나 잭슨빌에서 한 관계자는 범죄자와 협상하거나 요구에 굴복하지 않을 것이라고 말했다.

이번 랜섬웨어 공격은 그렇게 정교하게 시작된 것이 아니었다. ONWASA는 10월 4일 첨단 모듈식 뱅킹 트로이목마인 이모텟(Emotet)에 의한 공격을 받았다. US-CERT의 경고에 따르면, 이모텟은 주로 다른 뱅킹 트로이목마를 다운로드하거나 드롭하는 것이 주된 기능이다.

ONWASA는 처음에 트로이목마를 제거했다고 믿었지만 이모텟 악성코드는 지속적으로 남아 있었던 것으로 판명났다. 1주일이 훌쩍 지난 10월 13일 오전 3시부터 3시 30분 사이에 이모텟은 표적화된 류크(Ryuk) 랜섬웨어를 드롭했다.

ONWASA IT 직원은 시스템 자원을 보호하기 위해 인터넷에서 ONWASA를 분리하는 등의 즉각적인 조치를 취했지만 암호화 바이러스는 급속도로 네트워크를 따라 빠르게 확산되어 데이터베이스와 파일을 암호화했다.

ONWASA는 자신들이 받은 공격을 애틀란타와 노스 캐롤라이나 주 메클랜부르크 카운티가 겪은 공격과 비교했다. ONWASA는 공격자로부터 이메일을 받은 후, "이 공격자는 외국에 기반을 두고 있을지도 모른다"며, "그러나 몸값 지불의 의도는 없었다"고 말했다. ONWASA는 다음과 같이 설명했다.

- 몸값은 다른 국가에서 범죄 및 테러 활동의 자금을 제공하는데 사용된다. 게다가 대가 지불이 반복 공격을 방지한다는 보장이 없다. ONWASA는 범죄자와 협상을 하거나 그들의 요구에 굴복하지 않을 것이다. ONWASA는 데이터베이스와 컴퓨터 시스템을 처음부터 재구성하는 힘든 과정을 밟을 것이다.

서비스 주문, 계정 생성, 연결, 연결 해제, 개발 검토, 역류 프로그램 등과 같은 프로세스를 컴퓨터가 아닌 사람이 수동으로 처리해야 한다는 사실은 몇주 동안 서비스가 느려질 것이 분명하다. 현재 약 15만 명의 사람들이 이 시설에 의존하고 있다.

ONWASA CEO 제프 허드슨은 공격의 시기가 허리케인 플로렌스와 마이클의 여파와 연관이 있다고 확신한다고 전했다. 허리케인 플로렌스만으로 온슬로 카운티의 피해는 1억 2500만 달러를 넘어설 것으로 예상된다. 이 허리케인은 9월에 발생했는데, 지금까지 학교조차 재개되지 않았다. 인터넷 보안센터(Center for Internet Security)는 자연 재해로 인한 사이버 공격에 대해 이전에 경고한 바 있다. 

ONWASA는 FBI, 국토안보부, 노스캐롤라이나 주와 여러 사이버보안 업체와 협력해 시설을 복원하고 사이버공격자를 수사 중이다. editor@itworld.co.kr  

2018.10.18

랜섬웨어, 허리케인에 이어 노스캐롤라이나 급수시설 타격

Ms. Smith | CSO
허리케인 플로렌스에 의해 타격을 받은 미국 노스캐롤라이나의 급수 시설이 또다시 랜섬웨어의 공격을 받았다.

온슬로 상하수도청(Onslow Water and Sewer Authority, ONWASA)은 지난 9월 허리케인 플로렌스가 휩쓸고 지나간 이후, 상처가 채 가시기도 전에 랜섬웨어 공격을 받았다. 노스캐롤라이나 잭슨빌에서 한 관계자는 범죄자와 협상하거나 요구에 굴복하지 않을 것이라고 말했다.

이번 랜섬웨어 공격은 그렇게 정교하게 시작된 것이 아니었다. ONWASA는 10월 4일 첨단 모듈식 뱅킹 트로이목마인 이모텟(Emotet)에 의한 공격을 받았다. US-CERT의 경고에 따르면, 이모텟은 주로 다른 뱅킹 트로이목마를 다운로드하거나 드롭하는 것이 주된 기능이다.

ONWASA는 처음에 트로이목마를 제거했다고 믿었지만 이모텟 악성코드는 지속적으로 남아 있었던 것으로 판명났다. 1주일이 훌쩍 지난 10월 13일 오전 3시부터 3시 30분 사이에 이모텟은 표적화된 류크(Ryuk) 랜섬웨어를 드롭했다.

ONWASA IT 직원은 시스템 자원을 보호하기 위해 인터넷에서 ONWASA를 분리하는 등의 즉각적인 조치를 취했지만 암호화 바이러스는 급속도로 네트워크를 따라 빠르게 확산되어 데이터베이스와 파일을 암호화했다.

ONWASA는 자신들이 받은 공격을 애틀란타와 노스 캐롤라이나 주 메클랜부르크 카운티가 겪은 공격과 비교했다. ONWASA는 공격자로부터 이메일을 받은 후, "이 공격자는 외국에 기반을 두고 있을지도 모른다"며, "그러나 몸값 지불의 의도는 없었다"고 말했다. ONWASA는 다음과 같이 설명했다.

- 몸값은 다른 국가에서 범죄 및 테러 활동의 자금을 제공하는데 사용된다. 게다가 대가 지불이 반복 공격을 방지한다는 보장이 없다. ONWASA는 범죄자와 협상을 하거나 그들의 요구에 굴복하지 않을 것이다. ONWASA는 데이터베이스와 컴퓨터 시스템을 처음부터 재구성하는 힘든 과정을 밟을 것이다.

서비스 주문, 계정 생성, 연결, 연결 해제, 개발 검토, 역류 프로그램 등과 같은 프로세스를 컴퓨터가 아닌 사람이 수동으로 처리해야 한다는 사실은 몇주 동안 서비스가 느려질 것이 분명하다. 현재 약 15만 명의 사람들이 이 시설에 의존하고 있다.

ONWASA CEO 제프 허드슨은 공격의 시기가 허리케인 플로렌스와 마이클의 여파와 연관이 있다고 확신한다고 전했다. 허리케인 플로렌스만으로 온슬로 카운티의 피해는 1억 2500만 달러를 넘어설 것으로 예상된다. 이 허리케인은 9월에 발생했는데, 지금까지 학교조차 재개되지 않았다. 인터넷 보안센터(Center for Internet Security)는 자연 재해로 인한 사이버 공격에 대해 이전에 경고한 바 있다. 

ONWASA는 FBI, 국토안보부, 노스캐롤라이나 주와 여러 사이버보안 업체와 협력해 시설을 복원하고 사이버공격자를 수사 중이다. editor@itworld.co.kr  

X