댈러스 시는 지난 5월 모든 IT 시스템을 중단시킨 로열 랜섬웨어 공격이 도난당한 계정으로 시작되었다고 밝혔습니다. 로열은 4월 초 도난당한 도메인 서비스 계정을 이용해 댈러스 시의 네트워크에 접근하였고, 이후 4월 7일부터 5월 4일까지 시스템을 침해하였습니다. 이 기간 동안 로열은 시 공무원들과 외부 사이버보안 전문가들이 수행한 시스템 로그 데이터 분석에 따르면, 총 1.169TB의 파일을 수집하고 유출하였습니다.
공격이 탐지되자 댈러스 시는 고위험 서버를 오프라인으로 전환하여 로열의 진행을 방해하는 동시에, 내부 및 외부 사이버보안 전문가 팀의 도움을 받아 서비스 복구 작업을 시작하였습니다. 모든 서버를 복구하는 데는 5월 9일 금융 서버가 복구된 이후부터 6월 13일 쓰레기 처리 서버가 복구될 때까지 5주가 넘는 시간이 소요되었습니다. 댈러스 시는 이번 공격으로 인해 텍사스 주민 26,212명과 총 30,253명의 개인 정보가 노출되었을 가능성이 있다고 보고하였습니다.
로열 랜섬웨어 갱은 Conti 사이버 범죄 갱단의 분파로 생각되며, Conti가 운영을 중단한 후 주목받기 시작하였습니다. 로열은 2022년 1월 출시 이후, ALPHV/BlackCat 등 다른 랜섬웨어 작업의 암호화 도구를 사용하여 탐지를 피하려 하였으나, 그 해 동안 공격에 자체 암호화 도구인 Zeon을 사용하기 시작하였습니다.
요약
- 댈러스 시는 도난당한 계정을 통해 시작된 로열 랜섬웨어 공격으로 인해 모든 IT 시스템을 중단하였다.
- 공격이 탐지되자 댈러스 시는 고위험 서버를 오프라인으로 전환하고, 서비스 복구 작업을 시작하였다.
- 로열 랜섬웨어 갱은 Conti 사이버 범죄 갱단의 분파로, 자체 암호화 도구인 Zeon을 사용하여 공격하였다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.