새로운 랜섬웨어 종류인 '3AM'이 최근 발견되었습니다. 이 랜섬웨어는 LockBit 랜섬웨어의 배포가 실패한 경우에 대비하여 한 공격자가 사용한 것으로 밝혀졌습니다. Symantec의 Threat Hunter Team은 3AM 랜섬웨어를 사용한 공격은 드물며, 이들은 LockBit을 배포하지 못했을 때 이를 대체하기 위해 전환한 방법인 것을 확인했습니다.
3AM 랜섬웨어는 데이터를 암호화하기 전에 먼저 훔치고, 공격자에게 지불하지 않으면 도난당한 정보를 판매하겠다는 랜섬웨어 협박의 일반적인 추세를 따릅니다. 또한, 이 랜섬웨어는 Rust로 작성되었으며, 알려진 랜섬웨어들과는 관련이 없어 완전히 새로운 악성 코드로 보입니다. 파일을 암호화하기 시작하기 전에, 3AM은 감염된 시스템에서 Veeam, Acronis, Ivanti, McAfee, Symantec 등의 벤더로부터 다양한 보안 및 백업 제품의 서비스를 중단하려고 시도했습니다.
그러나 Symantec의 연구원들은 3AM이 새로운 위협임에도 불구하고, Symantec이 조사한 공격에서는 부분적으로만 성공했다고 밝혔습니다. 연구원들은 위협 행위자가 대상 조직의 세 대의 기계에서만 악성 코드를 배포할 수 있었으며, 두 시스템에서는 그 활동이 차단되었다고 전했습니다.
요약
- 새로운 랜섬웨어 '3AM'이 발견되었으며, 이는 LockBit 랜섬웨어 배포가 실패한 경우 대비하여 사용된 것이다.
- 3AM 랜섬웨어는 데이터를 암호화하기 전에 먼저 훔치며, Rust로 작성되었고, 알려진 랜섬웨어 가족과는 관련이 없다.
- Symantec의 연구원들은 3AM이 새로운 위협임에도 불구하고, 일반적으로 방어를 우회하고 미탐지 상태로 실행될 가능성이 더 높음에도 불구하고, 부분적으로만 성공했다고 밝혔다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.