FBI가 미국 기업들에게 경고하기를 다양한 산업 분야에 걸쳐 전 세계 수천 개의 기업이 비트코인 몸값을 지불하지 않는 한 6 일 이내에  DDoS 공격을 받고 있다고 합니다.

2020년 8월 12일에 시작된 이 대규모의 지속적인 ransom DDoS (RDDoS 또는 RDoS) 캠페인의 배후에 있는 공격자들은 Fancy Bear, Cozy Bear, Lazarus Group, Armada Collective와 같은 이미 잘 알려진 해킹 그룹으로 위장하고 있다고 합니다.

FBI가 표적 지역에 대한 힌트를 제공하지 않았지만, 사이버 보안 회사 Radware 가 발행한 보고서는 북미, APAC (아시아 태평양) 및 EMEA (유럽, 중동 및 아프리카)를 지목하고 있습니다.

RDoS 랜섬은 10 BTC에서 시작

Radware에 따르면 해킹 그룹이 요청한 몸값은 10 BTC (약 $ 113,000)에서 20 BTC (약 $ 226,000) 사이로 각 피해자의 고유한 비트 코인 주소로 지불해야 합니다.

(그림)협박메일의 내용 중 일부

또한, 피해기업이 돈을 내고 몸값을 지불하지 않으면 DDoS 공격이 최대 2Tbps까지 올라가고, 공격이 시작되면 놓친 기한에 대해 몸값이 10 BTC 씩 증가한다고 말하고 있습니다.

FBI는 이 RDoS 캠페인에 피해를 입은 여러 기업이 협박 메일을 받은 후 소규모 demo 공격을 보고했지만 대부분의 경우 6 일 기한이 만료 된 후 DDoS 활동이 뒤 따르지 않았다고 말하고 있습니다.

그럼에도 불구하고 여러 조직에서 공격으로 인해 서비스 운영이 영향을 받았다고 보고하고 있습니다..

Akamai는이 demo 공격에 "ARMS, DNS Flood, GRE Protocol Flood, SNMP Flood, SYN Flood 및 WSDiscovery Flood 공격을 주요 벡터로 활용하여 거의 200Gb / sec로 최대 공격을 기록합니다."라고 말했습니다.

표적 기업은 몸값을 지불하지 말 것을 권고

FBI는 미국 기업들에게 몸값을 지불하지 말라고 권고하고 있습니다.

그들의 요구에 부응하는 것은 FBI가 말한 것처럼 미래의 운영에 직접 자금을 지원하고 다른 잠재적인 피해자를 표적으로 삼도록 장려할 것입니다.

또한 RDoS 공격을 받은 표적 기업은 지역 FBI 현장 사무소에 보고하여 다른 표적 기업에 대한 공격을 방지하는 데 도움이 되는 정보를 제공하고 잠재적으로 공격자를 식별하고 해당 행동에 대한 책임을 지도록 해야합니다.

FBI는 미국 기업이 DDoS 완화 서비스를 사용하여 네트워크가 영향을 받기 전에 이러한 공격을 자동으로 식별하고 차단할 것을 권장합니다.

또한 인터넷 서비스 제공 업체 (ISP)와 협력하여 네트워크 트래픽을보다 쉽게 ​​모니터링하고 지속적인 DDoS 공격이 발생하는 경우 이를 차단하는 것이 좋습니다.

해당 캠페인과 관련해서는 국내에서도 지난 8월 14일 이후로 00은행, 000뱅크, 00뱅크, 00거래소가 협박메일과 RDoS 공격을 받은 상황이 언론보도를 통해 확인된 바 가 있으며 일부 기업에서 서비스 지연등의 영향을 받은 바 있습니다.

참고자료:

https://www.bleepingcomputer.com/news/security/fbi-thousands-of-orgs-targeted-by-rdos-extortion-campaign/

보안관제센터 Team MIR