[ad_1]
Progress Software의 WS_FTP 서버 취약점을 악용하여 조직을 대상으로 한 초기 랜섬웨어 캠페인이 이번 주 보안 연구원들에 의해 발견되었습니다.
Sophos X-Ops는 목요일에 최신 변종이 생성된 직후 작년에 유출된 LockBit 3.0에서 코드를 빼낸 랜섬웨어 범죄자의 표적이 되었다고 밝혔습니다.
캠페인 배후의 사기꾼은 경험이 부족할 가능성이 높으며 그들의 시도가 궁극적으로 성공하지 못했습니다. 랜섬웨어는 예상대로 실행되지 않았고 모든 파일을 암호화하지 못했습니다. Sophos는 자사의 바이러스 백신이 이를 차단할 수 있었고 페이로드를 캡처하고 검사할 수 있었다고 말했습니다.
WS_FTP 서버가 성공적으로 악용되고 악성 코드가 실행된 것으로 보이지만 이는 의도한 피해자에게는 좋은 소식입니다. 해당 코드는 랜섬웨어를 가져와 배포하려고 시도했지만 차단되었습니다.
랜섬웨어 페이로드에서 성공적인 공격 중에 삭제된 몸값 메모를 알아내는 것이 가능했으며, 침입 배후 그룹은 “Reichsadler Cybercrime Group”으로 밝혀졌습니다. 나치 정권이 채택한 무기를 포함한 독일의 무기.
해당 메모에는 암호화된 파일을 복구하기 위한 지불금으로 0.018비트코인만 요구했는데, 이는 총액이 500달러 미만에 해당합니다.
몸값은 더욱 확립된 사이버 범죄 활동에서 예상되는 것보다 훨씬 낮습니다. LockBit은 이번 주 CDW에 대한 공격 업데이트에서 회사가 요구한 총 8천만 달러 중 110만 달러만 제안했다고 주장했습니다.
일반적으로 랜섬웨어 갱단은 대상의 연간 수익을 계산한 금액의 약 3%에 해당하는 수수료를 요구하는 것으로 알려져 있습니다. 하지만 이러한 계산은 때때로 잘못된 정보에 기초하고 잘못 부풀려질 수 있습니다.
Reichsadler Cybercrime Group의 활동 위치는 알려지지 않았지만 몸값 메모에는 지불 마감 시간이 모스크바 표준시로 설정되어 있습니다. 이는 러시아 작전이나 실제 위치를 위장하려는 다른 나라의 작전을 암시할 수 있습니다.
소포스는 공격이 알려진 침입 전술(MITRE ATT&CK 기술 T1071.001)을 방지하도록 설계된 규칙을 실행한 후 랜섬웨어 페이로드 다운로드를 중지할 수 있었다고 말했습니다.
WS_FTP의 8개 취약점에 대한 패치는 9월 27일에 출시되었으며 Rapid7의 연구원은 3일 후 이 취약점을 악용하는 첫 번째 공격을 발견했습니다.
패치가 공개된 지 불과 이틀 만에 PoC(개념 증명) 코드가 공개된 후 초기 대량 공격 시도가 발생했다는 증거가 있었으며, 이로 인해 영향을 받은 조직이 패치를 구현해야 하는 시간이 심각하게 제한되었습니다.
원격 코드 실행 버그의 심각성과 PoC 코드의 가용성으로 인해 업계에서는 패치를 긴급하게 적용하라는 폭넓은 요구가 제기되었습니다.
Progress Software는 최대 심각도 점수인 10점을 할당했고, NIST의 국가 취약성 데이터베이스(National Vulnerability Database)는 이 문제에 “높은” CVSS 점수인 8.8점을 할당했습니다.
버그 발견에 참여한 보안 회사 Assetnote의 연구원에 따르면 원격 측정 결과 10월 4일 현재 약 2,900개의 호스트가 파일 전송 소프트웨어를 실행하고 있는 것으로 나타났습니다. ®
