미국 최대 송유관 업체인 콜로니얼 파이프라인(Colonial Pipeline)이 현지시각 기준 지난주 금요일,랜섬웨어 공격을 받았습니다. 이로 인해, 미국 동부 지역의 연료 공급에 큰 차질이 발생하면서 미국 정부는 연료 수송 차량에 탄력적 근무제를 일시 도입하는 등 긴급 대응에 나서고 있습니다.

이번 랜섬웨어 사건의 공격 배후는 러시아의 신생 그룹으로 알려져 있는 DarkSide 랜섬웨어 조직으로 추정되며, 정부와는 관련이 없는 독자적인 움직임일 가능성이 클 것으로 보고 있습니다.

Darkside는 2020년 8월 RaaS (Ransomware-as-a-Service : 서비스형 랜섬웨어)를 공표한 이래 15개 이상의 국가와 여러 산업 분야의 조직에 영향을 미치며 글로벌 범죄 행위를 수행해 온 조직입니다. 이들은 서비스형 랜섬웨어를 파트너에게 제공하고 랜섬머니 수익의 일부를 얻습니다.

주 공격 표적은 병원, 학교, 비영리 단체 및 정부를 제외한, 높은 금액의 랜섬머니를 지불할 수 있는 대규모 조직을 표적으로 해 온 것으로 알려져 있으며, 이번 미국 송유관 업체 공격이 사회적으로 큰 이슈가 되자, DarkSide 랜섬웨어 조직은 아래와 같은 입장을 표명하였습니다.

“정치적 목적은 없으며, 우리의 목표는 사회적 문제를 일으키지 않으면서 돈을 버는 것이다”

“앞으로는 사회적 문제를 피하기 위해 파트너의 공격 표적을 체크할 것”

DarkSide 입장발표 전문(출처: DarkSide Leaks Press Center)

결론적으로 이번 사건은 정치적 목적없이 DarkSide 파트너 중 하나가 잘못된 표적을 선택하여 발생한 것이고, 앞으로는 사회적 문제를 피하기 위해 파트너의 공격 표적을 체크할 것이라고 언급하고 있습니다.

한편, 월요일 FBI는 DarkSide가 콜로니얼 파이프라인의 네트워크를 손상시킨 책임이 있음을 공식적으로 확인하고 회사 및 기타 정부 기관과 지속적으로 협력하고 있다고 말했습니다.

또한 미국 정부는 이번 사건에 대해 “러시아가 정치적으로 관여했다는 증거는 없지만, 관련 조직이 러시아에 있다는 증거만으로도 이를 처리할 책임이 있다” 며 입장을 표명하였습니다.

아래 그림은 파이어아이에서 제공한 DarkSide Ransomware TTPs 입니다.

DarkSide Ransomware의 공격벡터는 주로 구글 드라이브 링크가 포함된 악성 이메일, 혹은 취약한 비밀번호가 사용된 인프라를 통해 이루어지는 것으로 확인됩니다. 따라서, 출처가 불분명한 이메일의 링크를 클릭하지 않도록 유의하며, 인프라 내 취약한 비밀번호를 사용하고 있지 않은지 점검해볼 필요가 있을 것입니다.

DarkSide Ransomware TTPs (출처 : fireeye.com)

Reference

https://www.bleepingcomputer.com/news/security/darkside-ransomware-will-now-vet-targets-after-pipeline-cyberattack/

https://www.fireeye.com/blog/threat-research/2021/05/shining-a-light-on-darkside-ransomware-operations.html

보안관제센터 Team MIR