1. 개요
- 6월 10일 새벽 1시경 호스팅 업체 나야나 리눅스 서버 300대 중 153대가 에레버스(Erebus) 랜섬웨어 감염
2. 내용
- 상세 내용
- 망분리가 안된 것으로 보이며 내외부 백업파일까지 랜섬웨어에 감염됨
- Erebus 랜섬웨어는 32비트와 64비트 리눅스 운영체제(OS)를 모두 감염시키는 리눅스용 ELF 파일
※ ELF는 프로그램 구성요소를 바이너리 형태로 나열한 포맷으로, 윈도 시스템의 PE 파일 또는 맥 OS의 Mach-O 파일과 비슷한 성격 - 감염시킨 시스템의 네트워크 연결 상태와 무관하게 암호화하며, 암호화 대상이 되는 확장자는 압축파일, 문서, 음원, 동영상 등 총 433종으로 확인됨
- 감염 직후 증상으로는 암호화 대상 파일명이 '(알파벳,숫자조합).ecrypt'으로 바뀌며 '_DECRYPT_FILE.txt'와 '_DECRYPT_FILE.html' 2개 파일을 생성하여 피해자에게 감염사실을 통보하고 비트코인 결제를 요구함
- 다음 경로 내에 존재하는 파일은 암호화되지 않음
/bin, /boot, /dev, /etc, /lib, /lib64, /proc, /run, /sbin, /src, /sys, /tmp, /usr, /var, /.gem, /.bundle, /.nvm, /.npm - 해커는 복구대가로 서버당 10비트코인(3,271만원)을 요구하였으나 협상이 지체되자 요구가격을 5.4비트코인(1,755만원)까지 낮춘 상황
- 6개월 전 호스팅 업체 와우코리아가 동일한 Erebus 리눅스 랜섬웨어에 감염되어 신고했으나 한국인터넷진흥원(KISA)의 현장 조사를 받지 못해 감염사실이 외부로 알려지지 않았으며 돈을 주고 협상한 것으로 파악 됨
- 호스팅업체 나야나를 지정해 공격한 것으로 호스티업체를 공격하는 것은 비용 대비 효과가 크기 때문이며 서버 한곳만 뚫린다면 수천~수백만 곳의 웹호스팅 고객사를 대상으로 복구대가를 요구할 수 있음
'IT > News' 카테고리의 다른 글
| 2017.07.20 리커로커(LeakerLocker) 랜섬웨어 (0) | 2017.11.08 |
|---|---|
| 2017.07.13 매트릭스 랜섬웨어 감염 (0) | 2017.11.07 |
| 2017.05.14 SMB 취약점을 이용한 랜섬웨어(WannaCry) (0) | 2017.11.06 |
| 2017.04.05 군 인트라넷 해킹을 통한 작전계획 5027 유출 (0) | 2017.11.06 |
| 2017.04.05 Lazarus 해커 그룹의 금융 기관 타킷 공격 (0) | 2017.11.06 |