Microsoft Warns of New INC Ransomware Targeting U.S. Healthcare Sector
개요
- Microsoft는 새로운 랜섬웨어 변종인 INC 랜섬웨어가 미국 의료 부문을 공격하고 있다고 경고
- 이 랜섬웨어 공격은 금전적 동기를 가진 위협 행위자에 의해 수행되며, 이들의 활동은 Vanilla Tempest라는 이름으로 추적되고 있음
주요 공격 방식
- GootLoader 감염 이후 Supper 백도어, AnyDesk 원격 관리 도구 및 MEGA 데이터 동기화 도구를 배포
- 이후 원격 데스크톱 프로토콜(RDP) 과 Windows Management Instrumentation(WMI) 를 이용해 INC 랜섬웨어를 배포
이전 활동
- Vanilla Tempest는 2022년 7월부터 활동이 추적되었으며, 교육, 의료, IT, 제조 부문을 대상으로 BlackCat, Quantum Locker, Zeppelin, Rhysida 등의 다양한 랜섬웨어를 사용한 공격 수행
- Vice Society로도 알려져 있으며, 기존 랜섬웨어를 사용해 공격을 수행하는 것이 특징
추가 발견 사항
- BianLian 및 Rhysida와 같은 랜섬웨어 그룹이 Azure Storage Explorer 및 AzCopy를 이용해 클라우드 스토리지로 대규모 데이터 전송을 시도, 탐지를 회피하려는 경향이 증가
보안 권장 사항
- RDP 및 WMI 사용에 대한 모니터링 강화
- 클라우드 스토리지 및 대규모 데이터 전송 도구에 대한 보안 점검 필요
- GootLoader와 같은 초기 감염 경로를 차단하기 위한 사전 방어 조치 강화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| ChatGPT 안전 가이드라인 우회 공격 (0) | 2024.09.23 |
|---|---|
| Vo1d 악성코드: 1.3백만 Android 기반 TV 박스 감염 (1) | 2024.09.23 |
| TeamTNT의 새로운 크립토재킹 캠페인: CentOS 서버 대상 공격 (0) | 2024.09.23 |
| 건설업계 타겟, FOUNDATION 소프트웨어 기본 자격 증명 악용 해킹 사례 분석 (1) | 2024.09.23 |
| 중국 해킹 조직 플랙스타이푼, 26만대 IoT 장비 봇넷 운영 적발 (0) | 2024.09.23 |