암호 제대로 설정하지 않은 MS-SQL 서버노리는 말록스 랜섬웨어 공격자들

요약 : 보안 외신 해커뉴스에 의하면 말록스(Mallox)라는 랜섬웨어 운영자들이 최근 들어 취약한 MS-SQL 서버들을 통해 피해자의 네트워크에 침해하면서 활동력을 왕성하게 높이고 있다고 한다. 이 때 사전 공격(dictionary attack)이라는 기법이 활용된다고 보안 업체 팔로알토네트웍스(Palo Alto Networks)가 경고했다. 또한 특이하게도 원노트 형식의 첨부파일을 미끼로 써서 피해자를 감염시키기도 한다. 그렇게 최초 침투에 성공하면 파워셸 명령어를 실행해 피해자의 정보를 빼돌리고 랜섬웨어 페이로드를 실행시켜 암호화 과정을 실시한다. 아직 피해자가 대단히 많은 수준은 아니라고 한다.


배경 : 사전 공격은 공격자가 미리 설정해 둔 단어들을 피해자의 로그인 시스템에 무작위로 대입하는 것을 말한다. MS-SQL 서버의 비밀번호를 취약하게 설정해 두었다면 이 공격에 뚫리기 쉽다고 전문가들은 경고한다. 제조업, 전문 및 법률 서비스업, 도소매업에서 피해자들이 주로 나오는 상황이다.

말말말 : “말록스도 여느 랜섬웨어 단체들처럼 정보를 빼돌리고 암호화 하여 이중협박 체제를 완성시킵니다. 피해자들의 정보를 노출시키는 사이트를 따로 만들어 운영하는 것도 같습니다.” -팔로알토네트웍스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>