요약 : 보안 외신 블리핑컴퓨터에 의하면 얼마 전 미국의 대형 석유 회사인 할리버튼(Halliburton)에서 발생한 사이버 공격의 배후에 랜섬허브(RansomHub)라는 랜섬웨어 조직이 있는 것으로 밝혀졌다고 한다. 공격이 처음 발견됐을 당시, 할리버튼 내 여러 부서와 기능들이 마비됐었고 영수증이나 인보이스 발행도 되지 않았었다. 이 때문에 랜섬웨어 공격이 의심되긴 했었다. 하지만 아직 할리버튼은 랜섬허브가 배후 세력이라는 것을 정확히 밝히지 않고 있다. 다만 일부 인터넷 커뮤니티에 랜섬허브가 할리버튼에 보낸 협박 편지가 공개되면서 사실이 알려졌다. 할리버튼은 유관 기관에 제출한 내용에 덧붙여 공개할 것이 아직 없다는 입장이다.


배경 : 할리버튼은 피해 확산을 막기 위해 침해지표를 공유하고 있는데, 그 중에 maintenance.exe라는 파일이 있다. 블리핑컴퓨터는 이 파일이 랜섬허브의 파일 암호화 도구라고 보도했다. 랜섬허브는 올해 2월부터 활동을 시작한, 비교적 새내기인 랜섬웨어 갱단이다. 하지만 1년도 되지 않는 기간 동안 꽤 많은 성과를 거둔 것으로 분석되고 있다. 이들이 사용하는 랜섬웨어 도구는 나이트(Knight)와 사이클롭스(Cyclops)라는 예전 랜섬웨어를 기반으로 하고 있다.

말말말 : “랜섬허브는 올해 2월부터 지금까지 최소 210개 조직들을 침해한 것으로 보입니다.” -FBI-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>