Apple, Quanta에 대한 랜섬웨어 공격 대상 | 해커들, 5000만 달러 요구

랜섬웨어 공격은 2019년 12월에 팬데믹이 시작된 이후로 증가하고 있습니다. 실제로, 여러 보고서에 따르면 2020년 말까지 랜섬웨어 공격이 최소 150% 증가했으며, 평균 요구 몸값이 약 $170000로 두 배가 되었습니다. 악의적인 행위자들은 큰 현금을 얻을 수 있는 잠재력 때문에 높은 수익을 내는 회사들을 주로 타겟으로 삼습니다. 또한, 대형 기술 제조업체를 타겟으로 하는 것도 추세가 되었습니다.

예를 들어, 2020년 11월에는 Foxconn이 랜섬웨어 공격의 대상이 되었으며, 공격자들은 1000개가 넘는 암호화된 서버에서 테라바이트 단위의 백업 데이터를 삭제했습니다. 공격자들은 암호화된 데이터를 릴리스하기 전에 3400만 달러를 요구했습니다. 맥락을 위해, Foxconn은 Amazon, Sony, Microsoft, Apple과 같은 회사들을 위한 가장 큰 전자 장비 제조업체입니다. 그 달 초에는 다른 제조업체(Compal)가 랜섬웨어 공격의 대상이 되었습니다.

이것은 대규모 기술 제조 회사들이 이제 더 정교한 랜섬웨어 공격의 위험에 처해 있다는 것을 보여줍니다. 가장 최근의 공격은 2021년 4월 말 몇 일 전에 발생했습니다. 대형 기술 회사들, 애플을 포함하여 노트북을 생산하는 대만 기반 회사인 Quanta가 랜섬웨어 공격을 받았으며, 이로 인해 애플에게는 5000만 달러의 비용이 발생할 수 있습니다.

랜섬웨어란 무엇인가?

랜섬웨어는 컴퓨터에 접근하여 파일이나 시스템을 암호화하고 사용할 수 없게 만들어 회사나 소유자로부터 그 해제를 위한 대가를 지불하게 만드는 악성 소프트웨어(malicious software)의 한 형태입니다. “랜섬”이라는 단어에서 알 수 있듯이, 모든 랜섬웨어 공격의 최종 목표는 피해자로 하여금 인질 파일이나 시스템의 해제를 위해 몸값을 지불하게 만드는 것입니다. 피해자가 지불하면, 공격자는 피해자가 암호화된 파일이나 시스템을 복호화하는 데 사용할 수 있는 복호화 키를 제공합니다.

랜섬웨어 공격의 첫 형태는 1989년에 일어났습니다. 그 이후로, 악의적인 주체들은 기술의 발전을 이용하여 더 정교한 공격을 자행해 왔습니다. 랜섬웨어의 진화는 나쁜 행위자들이 Ransomware-as-a-Service (RaaS)와 같은 서비스를 제공하여 그들의 네트워크와 능력을 확장하는 것을 보여주었습니다. 모바일 랜섬웨어 공격도 이제는 일어나고 있으며, 사물인터넷 기술의 사용이 확대되는 속도를 고려할 때, 우리는 새로운 공격을 보게 될 것입니다.

REvil 해커 그룹, Quanta를 통해 Apple을 타겟으로 삼다

2021년 4월 20일, Apple이 그들의 최신 기기들을 Spring Loaded 이벤트에서 공개하는 동안, 세계에서 가장 큰 노트북 제조업체 중 하나가 REvil이라고 알려진 러시아 해커 그룹에 의해 랜섬웨어 공격을 받았습니다. Quanta는 Apple을 위해 MacBook을 포함한 다른 제품들을 제조합니다. REvil, 또한 Sodinokibi로 알려진 이 그룹은 이미 출시된 2020 M1 MacBook Air와 새로운 iMac 디자인을 포함한 Apple의 최신 제품의 도면을 게시함으로써 그들의 성공적인 공격을 증명했습니다.

데이터 유출 몇 일 전, UNKN이라는 사용자 이름을 가진 한 사용자가 XSS(유명한 사이버 범죄 포럼)에서 큰 발표가 곧 있을 것이라고 암시하며 해커들에게 그룹에 가입할 것을 촉구했습니다. 우리는 이 사용자가 랜섬웨어 프로그램으로서의 서비스 프로그램을 위해 새로운 제휴사를 모집하고 이러한 소식을 발표하는 임무를 맡은 REvil 랜섬웨어 그룹을 대표한다고 믿습니다.

Quanta는 공격이 발생했음을 인정했습니다. 또한 보안팀이 공격에 대응하고 있지만, 사업 운영에 중대한 영향은 없다고 밝혔습니다. 회사의 성명에서 Quanta는 “최근 관찰된 비정상적인 활동과 관련하여 관련 법 집행 기관 및 데이터 보호 당국에 보고하고 원활한 소통을 유지하고 있습니다. 회사의 사업 운영에 중대한 영향은 없습니다.”라고 말했습니다. 이후에는 이러한 일이 다시 발생하지 않도록 사이버보안 인프라를 업그레이드했습니다.

이 공격자들은 이미지를 대가로 5천만 달러를 요구했지만, Quanta는 지불을 거부하여 그들이 세계에서 가장 가치 있는 회사에 도움을 요청하게 만들었습니다. 이것이 REvil 그룹이 Apple의 Spring Loaded 이벤트와 같은 날에 MacBook 설계도 약 21장을 공개한 이유입니다; 이는 주목받지 않을 가능성이 낮은 선언입니다.

또한 Apple이 몸값을 지불할 때까지 매일 새로운 데이터를 공개하겠다고 위협했으며, 5월 1일까지 최후통첩을 제시했습니다. REvil은 이 모든 정보를 자신들의 해킹 공격을 공개적으로 공유하는 사이트인 “Happy Blog”을 통해 공개했습니다. Apple은 이 공격에 대해 어떠한 성명도 발표하지 않았으며 몸값을 지불할 것이라는 어떠한 징후도 보이지 않았습니다.

REvil 해커 그룹의 역사와 그들의 공격들

Sodinokibi는 REvil로 잘 알려져 있으며, 랜섬웨어 공격으로 명성이 높습니다. 정보 보안 분야의 사람들은 이 그룹이 러시아 기반일 것으로 생각합니다. 왜냐하면 러시아나 국영 기업을 공격하는 것을 꺼리기 때문입니다. 또한, 이전의 악의적인 그룹인 GandCrab의 분파라고 믿습니다. GandCrab은 REvil이 지금처럼 활발했으며, 거의 2년 동안 약 20억 달러의 몸값을 챙겼습니다. GandCrab이 운영을 중단한 시기 즈음에 REvil이 주목받기 시작했습니다.

대부분의 해커 그룹과 달리, REvil은 더 많은 돈을 벌 수 있는 다른 모델을 운영합니다. 이 그룹은 랜섬웨어-서비스(RaaS) 모델을 사용하여 신뢰하는 제휴사에게 멀웨어를 라이선스합니다. 그런 다음 제휴사가 공격을 성공적으로 수행하면 랜섬의 일정 비율을 가져갑니다. REvil은 또한 피해자가 랜섬을 지불할 확률을 높이기 위해 이중 갈취 방법을 사용합니다. 이는 데이터를 암호화한 후, REvil이 가능한 한 많은 데이터를 자신의 서버로 전송하며 이를 판매하겠다고 위협한다는 것을 의미합니다.

회사에 백업이 있다 하더라도, 악의적인 그룹이 민감한 정보를 자신들의 서버로 전송했다면 여전히 몸값을 지불해야 할 수 있습니다. 같은 피해자에게 DDoS 공격을 사용하여 압력을 높이고 몸값을 지불하도록 강요하는 가능성도 있습니다. 이 그룹이 왜 이렇게 자금을 모으려고 하는지 궁금해지기 시작합니다. 더 수익성 있는 공격을 자금하기 위해서인가, 아니면 단순한 탐욕 때문인가?

이제, 이 그룹이 과거에 수행한 몇 가지 광범위한 공격들을 살펴보겠습니다.

1. 텍사스 지방 정부

2019년 8월 16일 새벽, REvil이 23개 텍사스 지방 정부 기관을 공격하고 250만 달러의 몸값을 요구했습니다. 이 기관에서 일하는 사람들은 평소 접근할 수 있던 파일에 접근할 수 없었습니다. 이것은 REvil이 기관의 시스템과 웹사이트를 마비시킨 조정된 공격이었습니다. 다행히 REvil은 그들의 백업 시스템을 공격하지 않아서, 그들은 요구에 굴복하지 않았습니다. 여러 사이버 보안 팀과 협력한 후, 이 기관들은 REvil 그룹에 의해 몸값을 요구받았던 파일과 시스템에 대한 접근을 복구할 수 있었습니다.

2. 트래블렉스

Travelex는 전 세계에서 외환 거래를 다루는 회사입니다. 공항에서 매우 인기가 있으며, 현지 화폐를 다른 화폐로 교환하는 과정을 쉽게 해줍니다. 2019년 12월 31일, REvil이 Travelex의 네트워크에 접근했습니다. 이는 Travelex가 구식 VPN을 사용했고 REvil 그룹이 패치되지 않은 소프트웨어의 취약점을 이용한 때문입니다. 네트워크에 침투한 후, REvil은 Travelex의 전체 네트워크를 마비시키는 랜섬웨어를 퍼뜨리며 230만 달러의 몸값을 요구했습니다.

Travelex는 랜섬웨어 공격을 당했다는 사실을 공개하지 않았습니다. 대신, 그들은 시스템이 유지 보수 중이라고 말했습니다. 그런 다음, 그들은 비밀리에 몸값을 지불하고 네트워크와 시스템에 대한 접근을 복구했습니다. 그러나 불행하게도, 진실은 헤드라인을 통해 밝혀졌고, 그들은 대중의 신뢰를 잃었습니다. 끔찍한 보안 정책으로 인해 공격의 피해자가 되는 것은 한 가지 문제이지만, 고객과 대중에게 그 사실을 거짓말하는 것은 심각한 범죄입니다. 이 순간까지도, Travelex는 여전히 그 행동의 결과를 직면하고 있습니다.

3. 그럽먼 샤이어 메이셀라스 & 색스

2020년 5월, REvil은 750GB 이상의 개인 법률 문서에 접근했습니다. Grubman Shire Meiselas and Sacks는 전 미국 대통령 도널드 트럼프를 포함한 여러 유명인사를 대리하는 법률회사입니다. REvil은 처음에 2100만 달러의 몸값을 요구했지만, 트럼프의 데이터를 본 후 금액을 올렸습니다. 법률회사는 FBI의 조언에 따라 돈을 지불하지 않았고, REvil은 다크 웹에서 데이터를 경매에 부쳤습니다.

결론

최고 기술 회사들을 위한 하드웨어를 생산하는 회사들에 대한 공격이 증가하는 것은 우려의 원인이 되어야 합니다. 이러한 회사들이 기술 산업의 거인들과의 연결고리 때문에 목표가 된다는 것이 명백합니다. 이러한 공격들은 회사들이 사이버보안을 가능한 한 심각하게 받아들여야 한다는 것을 상기시켜 줍니다. 왜냐하면 공격에 대한 적절한 방어를 구축하는 비용은 보통 자산을 회복하는 비용보다 적기 때문입니다.