CISA와 FBI는 Ghost 랜섬웨어를 배포하는 공격자들이 70개국 이상에서 여러 산업 분야의 피해자들을 공격했다고 밝혔습니다. 이에는 중요한 인프라 조직뿐만 아니라 의료, 정부, 교육, 기술, 제조업 등 다양한 중소기업이 포함되어 있습니다. Ghost 랜섬웨어 운영자들은 자주 악성 코드 실행 파일을 교체하고, 암호화된 파일의 확장자를 변경하며, 랜섬 메모를 변경하고, 랜섬 통신을 위해 여러 이메일 주소를 사용합니다.

Ghost 랜섬웨어는 공개적으로 접근 가능한 코드를 이용하여 취약한 서버의 보안 결함을 악용하는 금융적으로 동기를 가진 랜섬웨어 그룹입니다. 그들은 Fortinet, ColdFusion, Exchange 등에서 패치되지 않은 취약점을 공격 대상으로 삼았습니다. Ghost 랜섬웨어 공격에 대비하기 위해, 네트워크 방어자들은 정기적이고 오프사이트 시스템 백업을 만들고, 운영 체제, 소프트웨어, 펌웨어 취약점을 가능한 한 빨리 패치하며, Ghost 랜섬웨어에 의해 공격 대상이 된 보안 결함에 초점을 맞추는 등의 조치를 취해야 합니다.

Amigo_A와 Swisscom의 CSIRT 팀이 2021년 초에 처음으로 Ghost 랜섬웨어를 발견한 이후, 그들의 운영자들은 사용자 정의 Mimikatz 샘플을 떨어뜨리고, CobaltStrike 비콘을 따르며, 합법적인 Windows CertUtil 인증서 관리자를 이용하여 보안 소프트웨어를 우회하는 랜섬웨어 페이로드를 배포하였습니다. 또한, Ghost 랜섬웨어 공격에서 초기 접근을 위해 악용되는 것 외에도, 취약한 Fortinet SSL VPN 기기를 스캔하는 국가 후원 해킹 그룹들도 CVE-2018-13379 취약점을 대상으로 하였습니다.

요약

- CISA와 FBI는 Ghost 랜섬웨어를 배포하는 공격자들이 70개국 이상에서 여러 산업 분야의 피해자들을 공격했다고 밝혔다.
- Ghost 랜섬웨어는 공개적으로 접근 가능한 코드를 이용하여 취약한 서버의 보안 결함을 악용하는 금융적으로 동기를 가진 랜섬웨어 그룹이다.
- Ghost 랜섬웨어 공격에 대비하기 위해, 네트워크 방어자들은 정기적이고 오프사이트 시스템 백업을 만들고, 운영 체제, 소프트웨어, 펌웨어 취약점을 가능한 한 빨리 패치하며, Ghost 랜섬웨어에 의해 공격 대상이 된 보안 결함에 초점을 맞추는 등의 조치를 취해야 한다.
- Amigo_A와 Swisscom의 CSIRT 팀이 2021년 초에 처음으로 Ghost 랜섬웨어를 발견한 이후, 그들의 운영자들은 사용자 정의 Mimikatz 샘플을 떨어뜨리고, CobaltStrike 비콘을 따르며, 합법적인 Windows CertUtil 인증서 관리자를 이용하여 보안 소프트웨어를 우회하는 랜섬웨어 페이로드를 배포하였다.
- Ghost 랜섬웨어 공격에서 초기 접근을 위해 악용되는 것 외에도, 취약한 Fortinet SSL VPN 기기를 스캔하는 국가 후원 해킹 그룹들도 CVE-2018-13379 취약점을 대상으로 하였다.

Reference

https://www.bleepingcomputer.com/news/security/cisa-and-fbi-ghost-ransomware-breached-orgs-in-70-countries/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*