New Anubis Ransomware Could Pose Major Threat to Organizations
- Anubis 랜섬웨어 그룹 개요
- Anubis는 RaaS (Ransomware-as-a-Service) 형태로 운영되는 새로운 랜섬웨어 그룹
- 2024년 말에 등장했으며, 기존 랜섬웨어 운영 경험이 있는 멤버들로 구성된 것으로 추정
- Kela의 위협 인텔리전스 보고에 따르면, Anubis의 활동은 주로 다크웹을 통해 관찰됨
- 이중 갈취(double extortion) 방식을 사용하여 데이터를 탈취하고 이를 인질로 삼아 금전을 요구
- 운영 모델 및 비즈니스 프로그램
- Anubis는 RAMP 사이버 범죄 포럼에서 superSonic이라는 인물에 의해 2025년 2월 23일 신규 프로그램을 광고
- 세 가지 주요 프로그램 제공
- Anubis Ransomware: 전통적인 랜섬웨어 모델, 80% 수익을 제휴사에 제공
- Anubis Data Ransom: 이미 탈취된 데이터를 활용한 데이터 갈취 수익화 서비스
- Anubis에 독점 제공된 데이터만 허용, 최근 6개월 내 탈취된 데이터여야 함
- 60% 수익을 제휴사에 제공
- Access Monetization: 네트워크 접근 권한을 제공하는 액세스 브로커에 50% 수익 제공
- 대상 지역은 미국, 유럽, 캐나다, 호주로 제한
- 최근 1년 내 다른 랜섬웨어 공격을 받지 않은 조직이어야 함
- 기술적 세부 사항 및 주요 대상
- Anubis 랜섬웨어는 ChaCha+ECIES 알고리즘 사용
- Windows, Linux, NAS, ESXi x64/x32 환경을 타깃으로 함
- 웹 포털을 통한 제어 및 관리 가능
- 현재까지 공개된 피해자는 Pound Road Medical Centre (PRMC)를 포함한 의료기관이 다수
- PRMC는 2024년 11월 13일 사이버 사고를 발표했으나, 랜섬웨어 언급은 없었음
- 이는 Anubis가 데이터 갈취(Data Ransom) 방식에 집중하고 있음을 시사
- Anubis의 새로운 전략: 데이터 갈취 (Data Ransom)
- 기존의 파일 암호화 방식 외에도 데이터 탈취 후 금전 요구를 주요 전략으로 활용
- 이는 데이터 유출 후 갈취(post exfiltration extortion) 서비스 제공을 의미
- 데이터 암호화 작업을 생략하여 공격 속도 및 효율성을 높이는 방식
- 그룹의 블로그에는 현재까지 3명의 피해자가 공개되었으며, 4번째 피해자는 "New – Top Secret"으로 표시
- 결론
- Anubis의 활동은 의료기관, 공공기관 등 민감한 데이터 보유 기관을 주요 타깃으로 삼을 가능성이 높음
- 데이터 갈취만으로도 금전적 이익을 추구하는 새로운 랜섬웨어 트렌드 주목 필요
- 보안팀은 데이터 유출 감지 시스템(DLP) 및 행위 기반 탐지 시스템을 강화해야 함
- 백업 및 복구 계획을 마련하여 데이터 암호화뿐만 아니라 데이터 유출 시나리오에도 대비 필요
- 조직은 네트워크 접근 권한이 무단으로 거래되지 않도록 접근 통제 정책을 강화해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 군 환경에 적합한 고보안 와이파이 기술 실증 추진 (0) | 2025.03.09 |
|---|---|
| 귀찮은 보안, 반드시 실천해야 하는 이유 (0) | 2025.03.09 |
| GitVenom 캠페인, 가짜 GitHub 프로젝트로 게이머와 암호화폐 투자자 노린다 (0) | 2025.03.09 |
| 과기정통부, '데이터 품질인증 가이드라인' 발간 (0) | 2025.03.09 |
| NHN클라우드 서버 장애로 지자체 홈페이지 마비(2025.02.26.) (0) | 2025.03.09 |