FBI, 랜섬웨어 범죄집단이 방산업체 목표로 하고 있다고 경고

5년 된 랜섬웨어 조직이 미국 방위 회사 및 기타 기업을 상대로 공격의 수위를 높이고 있다고 FBI와 사이버 보안 및 인프라 보안국이 목요일 밝혔다.

공동 권고에 따르면 Snatch 그룹은 몸값을 지불 할 때까지 피해자의 컴퓨터를 잠그고 민감한 데이터를 훔쳐 온라인에 게시하겠다고 위협하는 이중 갈취라고하는 계략을 사용하는 자체 랜섬웨어를 개선하기 위해 다른 사람들로부터 배우고 있다고 한다. 

KnowBe4의 보안 인식 옹호자인 제임스 맥퀴건에 따르면 5년 된 이 그룹은 혁신적이고 은밀하게 활동하는 것으로 유명하다. 

"다른 많은 랜섬웨어 그룹과 마찬가지로 이 그룹은 네트워크 내에 머무르며 조직에 대한 많은 데이터와 정보를 흡수하는 것을 좋아합니다."라고 맥퀴건은 Defense One 자매지인 Nextgov/FCW에 말했다. "이러한 행동은 랜섬웨어가 실행되기 전에 신속한 위협 탐지 및 대응의 필요성을 다시 한 번 강조합니다."

이 그룹의 구성원은 일반적으로 원격 데스크톱 프로토콜의 취약점을 악용하고 손상된 자격 증명을 사용하여 피해자의 네트워크에 초기 액세스 권한을 획득한다고 고문은 말했다. 이 그룹은 초기 침입 후 3개월을 기다렸다가 데이터를 훔치기 시작하는 것으로 알려져 있기 때문에 인내심도 강하다.

이 자문은 조직이 사용자의 액세스 권한을 제한하고, 정기적인 패치 및 세분화를 수행하고, 일관된 백업을 유지하고, 네트워크에서 원격 액세스 도구를 정기적으로 감사하고, 원격 액세스 소프트웨어의 실행 로그를 검토할 것을 권장했다.

CISA와 FBI는 "몸값 지불을 강력히 권장하지 않는다"며 피해자가 랜섬웨어 사고를 당했을 경우 해당 기관의 지역 현장 사무소 및 사이버 방어국의 신고 채널에 신고할 것을 권장했다. 

CISA와 FBI는 올해 초 인기 있는 파일 전송 서비스인 MOVEit의 취약점을 악용한 CL0P라는 랜섬웨어 그룹을 포함하여 연방 기관에서 사용하는 소프트웨어와 네트워크를 노리는 랜섬웨어 그룹에 대해 경고하는 유사한 주의보를 발표한 적이 있다.