Rhysida 랜섬웨어: 의료 부문을 위협하는 새로운 사이버 공격

728x90
반응형
728x170

미국의 사이버 보안 및 인프라 보안국(CISA)과 연방 수사국(FBI)이 최근 Rhysida 랜섬웨어에 대한 심각한 위협을 경고하고 나섰습니다. Rhysida 랜섬웨어에 대해 알아보고 이 랜섬웨어가 왜 의료부문을 위협하는지 이글에서 자세하게 알아보겠습니다.

사이버-보안-위협
Rhysida 랜섬웨어

Rhysida 랜섬웨어란?

지네 속의 이름을 따서 리시다(Rhysida)라고 하는  Rhysida 랜섬웨어는 최근 사이버 보안 분야에서 주목받고 있는 새로운 형태의 위협입니다. 이 랜섬웨어는 기존의 랜섬웨어와는 다른 독특한 특징들을 지니고 있으며, Rhysida 랜섬웨어는 랜섬웨어를 생성 및 제공하는 개발자, 이를 운영하는 데 필요한 인프라, 피해자에 대한 공격을 실행하는 계열사로 구성된 RaaS(Ransomware-as-a-Service) 모델을 사용하는 새로운 랜섬웨어 그룹입니다   전통적인 랜섬웨어 그룹과 달리 Rhysida의 랜섬노트는 서비스 지향 대화와 유사한 고객 지원 접근 방식을 반영합니다. 특히 의료 부문을 포함한 다양한 산업 분야에 심각한 위협을 가하고 있습니다. 이 랜섬웨어는 정보 탈취 멀웨어인 Lumar와 함께 사용되어 피해자의 시스템과 데이터를 감염시킵니다. Luma는 다음과 같은 다양한 유형의 데이터를 추출할 수 있습니다.  

  • 비밀번호
  • 쿠키
  • 텔레그램 세션
  • 데스크톱 파일
  • 암호화폐

C++로 제작된 Luma는 Windows 11과 같은 최신 운영 체제에서도 탐지 프로토콜을 우회할 수 있습니다. Rhysida는 활성 디렉터리를 암호화하여 공격자가 암호 해독을 위해 몸값을 요구합니다.

리시다
Rhysida

의료 부문에 대한 표적 공격

반응형

Rhysida는 처음에는 서유럽, 북미, 남미, 호주의 교육, 정부, 제조, 기술 및 관리 서비스 제공업체를 대상으로 했지만, 최근에는 의료 및 공중 보건 분야로 주요 표적을 변경했습니다. 특히 로스앤젤레스의 Prospect Medical Holdings를 포함한 의료 기관에 대한 공격이 Rhysida와 연관되어 있다는 추측이 제기되었습니다. 의료 기관을 표적으로 삼는 것은 그들이 처리하는 민감한 데이터의 중요성을 고려할 때 매우 심각한 문제입니다. Rhysida는 초기에 다양한 산업 분야를 대상으로 활동했지만, 최근에는 특히 의료 부문에 집중하고 있습니다. ChatGPT에서 생성된 것과 같은 AI 생성 텍스트와 비교할 수 있는 톤을 사용합니다. 이는 의료 기관이 보유한 민감한 데이터와 서비스의 중요성 때문에 더 큰 몸값을 요구할 수 있다는 계산에서 비롯된 것으로 보입니다.

CHAT-GPT-악용
CHAT-GPT-AI-생성-톤

FBI-CISA 공동 경고 

미국 연방수사국(FBI)과 사이버보안·인프라보안국(CISA)이 공동으로 Rhysida 랜섬웨어 공격에 대한 경고를 발표했습니다. 공격자들은 기회주의적 공격에 가담하는 것으로 묘사되었습니다. 이러한 공격자들은 로빙 오프 더 랜드(LotL) 기술을 활용하여 표적에 침입하고, 가상 사설망(VPN) 접속을 설정하고, 측면 이동을 수행하여 공격 표면을 더욱 확장합니다.

 

미국 사이버 보안 기관, Rhysida 랜섬웨어 위협에 대한 최신 경보 발표

2023년 11월, 미국의 사이버 보안 및 인프라 보안 기관(CISA), 연방 수사국(FBI), 그리고 다중 주 정보 공유 및 분석 센터(MS-ISAC)는 Rhysida 랜섬웨어에 대한 새로운 경고를 발표했습니다. 이 랜섬웨어는

it.katzdoll.co.kr

Rhysida 랜섬웨어 공격에 취약한 조직은 다음과 같은 사항에 유의해야 합니다.

  • 합법적인 네트워크 및 Windows 시스템 활동과 혼합되는 공격 접근 방식
  • 로빙 오프 더 랜드(LotL) 기술, VPN 접속, 측면 이동을 통한 공격

혁신적인 접근 방식의 등장과 그 의미

FASSI
FASSI-유출

Rhysida 랜섬웨어는 FASSI Gru Spa 회사의 IT 인프라에서 유출된 데이터 100%를 데이터 유출 사이트(DLS)에 공개했습니다.  게시한 게시물에서 사이버 범죄자들은 ​​총 490GB를 공개했습니다. 1,120,626개의 파일입니다.

“Fassi Gru는 이탈리아 제조업체 중 시장 선두주자입니다. 제품 범위와 판매된 크레인 수로 인해 세계 유압 크레인 제조업체 중 선두에 올랐습니다. 생산 잠재력은 연간 약 12,000개의 크레인입니다. 신속하고 광범위한 유통을 위해 전체 제품군이 전 세계로 수출 및 유통됩니다. 캐나다에서 프랑스, ​​영국에서 호주에 이르기까지 Fassi의 전문성은 종종 개별 국가의 특정 지리적, 경제적 조건과 관련된 시장의 다양한 요구를 충족시키는 것을 목표로 합니다."

AI 기술을 활용한 랜섬웨어의 새로운 양상

Rhysida 랜섬웨어의 등장은 사이버 범죄의 새로운 양상을 보여줍니다. 이들은 전통적인 랜섬웨어 그룹과는 달리, AI 기술을 활용하여 더욱 정교하고 사용자 친화적인 접근 방식을 취하고 있습니다. 이러한 혁신적인 접근 방식은 사이버 보안 전문가들에게 새로운 도전을 제시하며, 랜섬웨어에 대한 기존의 대응 전략을 재고하게 만듭니다. Rhysida의 전술은 AI와 유사한 언어를 활용하고 있으며, 알려진 취약점을 악용하고 Cobalt Strike 또는 유사한 프레임워크를 배포합니다. 또한, ChaCha20 알고리즘과 함께 4096비트 RSA 키를 사용하여 암호화를 수행합니다. 이러한 전술은 사이버 보안 전문가들에게 강력한 대응을 요구하며, 복구 노력을 복잡하게 만듭니다.

사이버-보안-위협
사이버 보안 위협

피해자와의 상호작용에서 나타나는 변화

Rhysida의 랜섬노트는 공격적이고 위협적인 언어 대신, 서비스 지향적이고 대화형의 접근 방식을 취합니다. 이는 피해자들에게 심리적 안정감을 주어 협상 과정에서 유리한 위치를 선점하려는 전략으로 보입니다. 이러한 변화는 사이버 범죄자들이 단순한 기술적 공격뿐만 아니라 심리적 조작에도 능숙해지고 있음을 시사합니다. 교육 부문은 피해자의 30% 이상을 차지합니다. 한 가지 예외를 제외하면 교육 부문에서 영향을 받은 모든 조직은 유럽과 북미에 위치하고 있으며 제조, 정부, IT가 그 뒤를 따릅니다.

방화벽-vpn
대화형-접근-방식

의료 데이터의 민감성과 위험성

의료 기관이 보유한 데이터는 환자의 개인 정보, 의료 기록, 금융 정보 등 매우 민감한 정보를 포함하고 있습니다. 이러한 데이터가 랜섬웨어 공격의 대상이 되면, 환자의 사생활 보호는 물론 기관의 운영에도 심각한 차질이 발생할 수 있습니다. 따라서 의료 기관은 사이버 보안에 특별한 주의를 기울여야 합니다.

의료-보안
의료-보안

의료계의 긴급 조치 요청

HC3의 경고는 Rhysida의 위협에 대한 보호를 우선시해야 하는 의료 및 공중 보건 기관의 긴급성을 강조합니다. 권장 조치에는 맬웨어 서명을 네트워크 보안(next generation firewall)에 통합하고 위험 완화 조치를 신속하게 구현하는 것이 포함됩니다. 의료 기관은 진화하는 위협 환경과 AI 기반 전술에 대응하기 위해 보안 조치를 조정해야 합니다.

대응 전략의 중요성

SOC-보안
NGFW

의료 기관의 사이버 보안 강화 필요

Rhysida의 활동은 의료 기관에게 사이버 보안을 강화할 필요성을 일깨웁니다. 특히, 랜섬웨어 공격에 대비한 정기적인 데이터 백업, 직원 교육, 네트워크 보안(next generation firewall) 강화 등이 중요합니다. 모든 조직은 사이버 보안 모범 사례를 준수해야 합니다. 여기에는 다음과 같은 내용이 포함됩니다.

  • 최신 보안 패치 적용
  • 강력한 암호 사용
  • 데이터 백업 및 복구 절차 마련
  • 직원 교육
  • next generation firewall: NGFW는 세대별 방화벽 기술의 일환으로, 전통적인 방화벽과 네트워크 장치를 통합하여 보다 효율적인 보안을 제공합니다

사이버 위협에 대한 지속적인 모니터링과 대응

Rhysida와 같은 혁신적인 사이버 위협에 대응하기 위해서는 지속적인 모니터링과 신속한 대응 체계가 필요합니다. 이를 위해 최신 사이버 보안 동향에 대한 지속적인 교육과 기술 업데이트가 요구됩니다. 미국 사이버 보안 및 인프라 보안국(CISA)의 Rhysida 랜섬웨어와 관련된 최신 보안 권고 및 지침을 상시 모니터링 해야 합니다.

 

Home Page | CISA

SAFECOM works to improve emergency communications interoperability across local, regional, tribal, state, territorial, international borders, and with federal government entities. 

www.cisa.gov

기술적 특성과 작동 방식 파악

Rhysida 랜섬웨어는 고도로 발전된 암호화 기술을 사용하여 피해자의 데이터를 암호화하고, 몸값을 요구하는 방식으로 작동합니다. 이 랜섬웨어는 특히 강력한 암호화 알고리즘을 사용하여 일단 감염되면 데이터 복구가 매우 어렵습니다. 또한, 이 랜섬웨어는 다양한 취약점을 이용하여 시스템에 침입하고, 네트워크 내에서 빠르게 확산될 수 있는 능력을 가지고 있습니다.

결론

RANSOMEWARE
RANSOMEWARE

Rhysida 랜섬웨어의 등장과 의료 부문을 향한 집중 공격은 사이버 보안의 새로운 도전을 제시합니다. 이에 대응하기 위해서는 의료 기관뿐만 아니라 모든 조직이 보다 체계적이고 진화된 사이버 보안 전략을 수립하고 실행해야 합니다. Rhysida의 혁신적인 접근 방식은 사이버 범죄의 새로운 양상을 보여주며, 이에 대한 지속적인 관심과 대응이 필요함을 강조합니다.

728x90
반응형
교차형 무한