요약

- 11월 2일 누나부트준주가 랜섬웨어에 공격을 받았다고 공식 발표.

- 현재 모든 네트워크 사용이 중지 된 상태이며, 업무는 수기, 팩스, 전화 등으로 처리하고 있음

- 공개된 랜섬노트를 보아 Doppelpaymer 랜섬웨어에 감염된 것을 알 수 있음.

- 랜섬노트는 총 2일의 기한을 주며, 520만 달러를 요구 (네트워크 복수 비용에 들어갈 비용은 1800만 달러가 들 것으로 예상)

- 영향성 : 정기적으로 시스템에 대한 스냅샷을 찍어 보관 하기 때문에 피해 규모는 작을 것으로 보임

모든 부서의 데이터가 10/31 기준으로 백업이 되어 있어 11/1 ~ 11/2일 간의 데이터만 소실 위험에 있음.

-      랜섬노트 : 참고 hxxps://nunatsiaq.com/stories/article/government-of-nunavut-returns-to-paper-records-and-phone-calls-following-ransomware-attack/

      *Doppelpaymer : 2019년 6월경부터 최초 목격된, 변종 Bitpaymer 랜섬웨어. 미국 텍사스 주의 에드카우치 시와 칠레 농업부가 공격을 당한 바 있음. 

- 탐지방법 :

네트워크 관리자 계정 활동의 행동 변화 유무 확인 (예, 다량의 RDP 연결 사용)

Powershell Empire 과 Dridex 뱅킹 트로잔 탐지룰을 이용한 공격 탐지. 


탐지룰 존재유무

- Yara 룰 (hxxps://www.sentinelone.com/blog/yara-hunting-for-code-reuse-doppelpaymer-ransomware-dridex-families)


RULE CRIME_WIN32_DOPPELPAYMER_RANSOMWARE_1 

{

    META:

        DESCRIPTION = "DETECTS DOPPELPAYMER PAYLOAD NOV 11 SIGNED"

        AUTHOR = "@VK_INTEL"

        REFERENCE = "HTTPS://TWITTER.COM/VK_INTEL/STATUS/1193937831766429696"

        DATE = "2019-11-11"

        HASH1 = "46254A390027A1708F6951F8AF3DA13D033DEE9A71A4EE75F257087218676DD5"


    STRINGS:

        $S1 = "SETUP RUN" WIDE

        $HASH_FUNCTION = { 5? 5? 8B FA 8B ?? 8B CF E8 ?? ?? ?? ?? 85 C0 75 ?? 81 ?? ?? ?? ?? ?? 7? ??}


    CONDITION:

        ( UINT16(0) == 0X5A4D AND

            FILESIZE < 2500KB AND

            ( ALL OF THEM )

        )

}


- 벤더사 탐지룰 적용 중 (hxxps://www.virustotal.com/gui/file/46254a390027a1708f6951f8af3da13d033dee9a71a4ee75f257087218676dd5/detection)

Symantec - ML.Attribute.HighConfidence

McAfee - Artemis!81F50E95BFBB

FireEyE - Gen:Trojan.Heur.FU.JzW@ammUQ@i


영향성

- 최근, 스피어피싱이나 워터링홀 기법, 신규취약점을 악용한 유포가 활발히 발생 중 이므로 각별히 주의 필요!

최근 다수 발생 중인 신규 취약점 악용 공격 : 블루킵 및 vpn 악용 취약점 공격

Pulse Secure VPN : CVE-2019-11510, CVE-2019-11539

Fortinet Fortigate VPN : CVE-2018-13379

Bluekeep : CVE-2019-0708


참고자료

출처 : hxxps://gov.nu.ca/executive-and-intergovernmental-affairs/news/gn-network-impacted-ransomware

hxxps://gov.nu.ca/executive-and-intergovernmental-affairs/news/government-nunavut-ransomware-update

hxxps://nunatsiaq.com/stories/article/government-of-nunavut-returns-to-paper-records-and-phone-calls-following-ransomware-attack/

hxxps://www.sentinelone.com/blog/yara-hunting-for-code-reuse-doppelpaymer-ransomware-dridex-families/

hxxps://www.cert.ssi.gouv.fr/uploads/CERTFR-2019-CTI-006-EN.pdf

저작자표시 비영리 변경금지

'Incident Report' 카테고리의 다른 글

[2020.04.03]MS-SQL 서버 타겟 Vollgar 공격 캠페인 발견  (0) 2020.04.03
[2019.12.09] 오션로터스 BMW, 현대자동차 네트워크 공격 포착  (0) 2019.12.12
[2019.11.13] 멕시코 PEMEX 오일, DoppelPaymer 랜섬웨어 감염  (0) 2019.11.13
[2019.11.05] TA505 그룹 활동 재개 가능성 포착  (0) 2019.11.06
[2019.11.05] Bluekeep 취약점(CVE-2019-0708) 이용한 공격 포착  (0) 2019.11.06

+ Recent posts

티스토리툴바