최근 마이크로소프트는 새로운 랜섬웨어 변종인 INC가 미국의 의료 부문을 겨냥하여 공격을 시작했다고 경고했습니다. 이 위협적인 행위자는 “바닐라 템페스트(Vanilla Tempest)”라는 이름으로 추적되고 있으며, 이들은 GootLoader 감염을 통해 랜섬웨어를 배포하고 있습니다.
랜섬웨어의 작동 방식
마이크로소프트의 위협 정보팀에 따르면, 바닐라 템페스트는 원격 데스크톱 프로토콜(RDP)을 통해 네트워크 내에서 횡적인 이동을 한 후, WMI(Windows Management Instrumentation) 프로바이더 호스트를 사용하여 INC 랜섬웨어를 배포합니다. 이미 2022년 7월부터 활동을 해온 이 공격자는 교육, 의료, IT 및 제조업계를 대상으로 한 다양한 랜섬웨어 가족을 사용하여 피해를 주고 있습니다.
랜섬웨어 공격과 데이터 탈취
랜섬웨어 공격은 단순히 데이터를 암호화하는 것이 아니라, 민감한 데이터를 동시적으로 탈취하여 금전적 요구를 유도하는 방식으로 진행됩니다. 최근 BianLian 및 Rhysida와 같은 공격 그룹들이 Azure Storage Explorer와 AzCopy를 활용하여 이동식 저장소로 데이터를 탈취하는 사례도 증가하고 있습니다. 이는 의료 및 기업 정보의 안전을 위협하는 심각한 문제로 작용합니다.
해결책과 예방 조치
이러한 공격을 예방하기 위해서는 즉각적인 패치 적용 및 다단계 인증을 포함한 보안 체계 강화가 필요합니다. 마이크로소프트는 사용자가 최신 랜섬웨어의 변형에 대비할 수 있도록 지속적으로 경고하고 있으며, 사용자들에게 기본적인 사이버 보안 교육을 권장하고 있습니다.
결론
오늘날 랜섬웨어는 단순한 해킹을 넘어, 국지적 및 글로벌 규모의 공격으로 확대되고 있습니다. 기업과 개인 모두 사이버 보안에 대한 관심과 투자를 아끼지 말아야 할 시점입니다. 랜섬웨어 경고는 결코 가볍게 넘길 일이 아니며, 모든 사용자는 예방 조치를 통해 자신을 보호해야 합니다.
핵심 키워드
- 랜섬웨어(Ransomware): 악성 소프트웨어의 일종으로, 사용자 파일을 암호화하여 금전적 대가를 요구하는 공격 방식입니다. 랜섬웨어는 최근 데이터 탈취와 결합되어 더 큰 위협이 되고 있습니다.
- 바닐라 템페스트(Vanilla Tempest): 마이크로소프트의 위협 정보에서 식별한 공격자 그룹으로, INC 랜섬웨어를 통해 미국의 의료 부문을 목표로 하고 있습니다.
- 데이터 탈취(Data Exfiltration): 공격자가 민감한 데이터를 무단으로 유출하는 행위로, 랜섬웨어 공격의 주요 부가적 과정으로 자리잡고 있습니다.
- WMI(Windows Management Instrumentation): 마이크로소프트의 관리 프레임워크로, 랜섬웨어 공격자들이 시스템 내에서 명령 및 제어를 수행하는 데 사용됩니다.
사이버 보안에 대한 경각심을 높이는 것은 개인과 기업 모두에게 필수적입니다. 예방 조치를 통해 랜섬웨어와 같은 공격으로부터 안전한 환경을 구축하는 것이 중요합니다.