Tata Technologies 대상 Hunters International 랜섬웨어 공격 분석

Hunters International ransomware group claims the theft of 1.4 TB of data allegedly stolen from Tata Technologies

Hunters International ransomware group claims the theft of 1.4 TB of data allegedly stolen from Tata Technologies

 

• 공격 개요
  • 2025년 1월, 인도 다국적 기술기업 타타 테크놀로지스(Tata Technologies)가 랜섬웨어 공격에 피해를 입음
  • 공격은 인도 국가증권거래소(NSE)에 제출된 공시를 통해 확인되었으며, 공격 그룹은 Hunters International로 지목됨
  • 공격자는 약 1.4TB 분량의 데이터를 탈취했으며, 73만 건 이상의 파일을 보유하고 있다고 주장
• 피해 기업 정보
  • 타타 테크놀로지스는 타타 모터스(Tata Motors)의 자회사로, 자동차 및 항공우주 산업에 제품 설계 및 엔지니어링 서비스를 제공
  • 전 세계 18개 전달센터에 11,000명 이상의 직원 보유 (2023년 기준)
  • 피해 당시 일부 IT 자산이 영향을 받았으나, 핵심 고객 서비스는 중단 없이 유지됨
  • 사후 대응으로 일부 IT 서비스를 일시 중단 후 복구 완료
  • 외부 사이버 보안 전문가와 함께 조사를 진행 중이며, 관련 기관에 신고 완료
• 데이터 탈취 내용 및 위협 수준
  • 공격자는 Tor 유출 사이트에 타타 테크놀로지스를 피해 기업으로 등록하고 데이터 공개를 위협
  • 유출된 데이터에는 계약서, 재무 및 사업 문서, 엔지니어링 프로젝트, 직원 개인정보(PII) 포함
  • PII에는 인도 국민 식별번호(Aadhar Number) 등 민감 정보 포함 가능성 존재
  • 데이터 양과 성격으로 인해 공급망 공격, IP 탈취, 고객 데이터 유출 등 2차 피해 우려
• 공격 그룹 분석
  • Hunters International은 Hive 랜섬웨어 조직의 후신(리브랜딩)으로 추정됨
  • Hive 조직은 2022년 타타 파워(Tata Power)를 공격한 바 있음
  • 보안 연구자들은 Hunters International이 Hive와 유사한 코드베이스를 사용 중인 점을 근거로 동일 조직일 가능성을 제기
  • Hive는 국제 공조 수사로 2023년 해체된 바 있음
• 공격 방식 및 침투 수단(추정)
  • 초기 침입 수단은 불명확하나, 과거 Hive 사례에 기반하면 다음과 같은 가능성 존재
    • 피싱 또는 취약한 RDP 서비스 악용
    • 자격 증명 탈취 후 lateral movement
    • 데이터 압축 및 탈취, 랜섬노트 배포
  • 공격 시 타겟 네트워크의 일부만 영향을 주고, 핵심 서비스에는 영향을 주지 않는 정밀 타겟팅 방식 가능성
• 결론
  • 타타 그룹은 2022년 타타 파워에 이어 또 다시 랜섬웨어 피해를 입은 것으로, 보안 거버넌스의 재정비가 요구됨
  • Hive 후신으로 추정되는 Hunters International은 공격 대상을 인도 기반 산업 인프라 기업으로 지속 확장 중
  • 기술 및 설계 데이터를 포함한 대량의 지식재산 유출은 산업 스파이 활동과도 연계될 수 있어, 국가적 차원의 보안 대응 필요
  • 기업은 정교한 위협 인텔리전스 분석, 다중 인증(MFA), 주기적인 자격 증명 점검, 오프라인 백업 등 기본 보안 수칙을 강화해야 함