2020-08-13 00:00 (목)
SamSam 랜섬웨어, 다양한 취약점 악용해 타깃 회사 네트워크 접근권한 획득
상태바
SamSam 랜섬웨어, 다양한 취약점 악용해 타깃 회사 네트워크 접근권한 획득
  • 길민권 기자
  • 승인 2018.05.02 16:42
이 기사를 공유합니다

aa-2.jpg
SamSam 랜섬웨어 최신 버전이 전체 회사를 타깃으로 하는 공격으로 스팸 캠페인의 영역을 넓혀가고 있어 각별한 주의가 요구된다.

해외 보안기업들의 분석에 따르면, SamSam 운영자들은 이전에 사용하던 전략과는 반대로 수 천 개의 랜섬웨어 복사본을 개별 조직에 한번에 보내고 있는 것으로 조사됐다.

SamSam은 회사 전체를 감염시키기 위해 피싱과 스팸 보다는 다양한 취약점을 악용해 피해자 회사의 네트워크에 접근 권한을 얻는 방식을 취하고 있다. 이는 RDP 패스워드를 브루트포싱하는 것으로 나타났다.

내부망에 접근할 발판을 마련한 후, SamSam은 이미 알려진 대로 네트워크 매핑을 통해 추가 피해자를 찾고 크리덴셜을 훔친다.

잠재적 타깃이 발견 되면, 공격자들은 PSEXEC과 같은 툴들과 배치 스크립트를 통해 수동으로 SamSam을 선택 된 시스템에 배치한다.

한편 공격자들은 비즈니스 전략에도 변화를 준 것으로 나타났다. 그들은 기업에 침투해 악성코드를 여기저기 배치한 후 모든 기기를 치료할 경우 “대량 할인”을 제공한다는 식으로 접근하고 있다.

보안업체의 테스트에서 확인 결과, 테스트 당시 이 대량 할인은 비트코인의 현재 가치로 환산했을 때 약 4만5천달러 정도로 추정되고 있다.

피해자는 대량 할인을 선택하지 않더라도 호스트 별로 요금을 지불할 수 있으며, 복구하고 싶은 호스트의 이름을 공격자에게 보내면 된다.

보안기업 탈로스 지난 1월 SamSam 랜섬웨어의 비즈니스에 대해 조사한 결과, SamSam 랜섬웨어와 관련 된 비트코인 지갑에 30.4 BTC가 있었다고 밝혔다. 1월 중순부터 사용한 두 번째 주소는 4월 기준 23건의 지불을 받은 것으로 조사됐다.

즉 범죄자들은 현재까지 68.1 비트코인을 벌어들였으며 이는 현재 기준으로 약 63만2,199달러에 달하는 금액이다.

한편 패치 적용, 네트워크 분리, 백업, 권한이 있는 계정에 대한 접근 정책을 만드는 등의 기본적인 보안 조치가 Samsam 랜섬웨어를 막는데 모두 도움이 된다는 사실이다.

최근 SamSam에 피해를 입은 아틀란타 시는 장비들과 데이터를 되찾기 위해 보안 회사와 컨설턴트들에 270만 달러를 지불했다.

SamSam 측은 컴퓨터 한대 당 6천800달러의 비용을 요구했으며 아틀란타시는 지불을 거부했다.

한편 일부 시스템은 아직까지도 접근이 불가능 한 것으로 밝혀졌다. .(정보. 이스트시큐리티)

★정보보안 대표 미디어 데일리시큐!★