악명 높은 ‘리시다(Rhysida) 랜섬웨어 그룹’이 런던의 킹 에드워드 7세 병원의 보안을 뚫는 데 성공했으며, 이 병원은 유서 깊은 역사와 고품질 의료 서비스 제공에 대한 헌신으로 유명한 민간 의료 기관이다. 이 사건은 사이버 범죄자들이 토르 유출 사이트의 피해자 목록에 병원을 추가하면서 공개되었다.
2023년 5월부터 활동한 리시다 랜섬웨어 그룹은 병원 네트워크에 침투해 상당한 양의 민감한 데이터를 유출했다고 주장하고 있다. 이 그룹은 침해에 성공했다는 증거로 토르 유출 사이트에 탈취한 문서 이미지를 게시했다. 여기에는 의료 보고서, 등록 양식, 엑스레이, 의료 처방전 및 기타 기밀 정보가 포함되어 있다.
사이버 범죄자들은 한 걸음 더 나아가 영국 왕실을 포함한 수많은 환자와 직원들의 데이터를 보유하고 있다고 주장했다. 이 그룹은 유출 사이트에 올린 소름 끼치는 발표를 통해 훔친 데이터를 일괄적으로 판매한다고 선언하고 10 BTC(비트코인)의 몸값을 요구했다.
이번 사건은 최근 대영도서관과 중국에너지공정공사에 대한 공격에 이은 것으로, 교육, 의료, 제조, 정보 기술, 정부 등 다양한 분야의 조직을 표적으로 삼는 것으로 유명한 이 그룹의 명성을 더욱 공고히 하고 있다.
FBI와 사이버보안 및 인프라 보안국(CISA)은 리시다 랜섬웨어 그룹의 위협이 증가함에 따라 사이버 보안 권고(CSA)를 공동으로 발표했다. 이 권고문은 현재 진행 중인 스탑랜섬웨어(StopRansomware) 노력의 일환으로, 이 그룹의 전술, 기술 및 절차(TTP)와 침해 지표(IOC)에 대한 중요한 정보를 전파하는 것을 목표로 한다. 이 권고에 따르면, 리시다 랜섬웨어 공격자들은 서비스형 랜섬웨어(RaaS) 모델을 활용해 타깃에 영향을 미치는 것으로 알려져 있다. 이 모델은 계열사와의 수익 공유 계약을 통해 랜섬웨어 도구와 인프라를 임대하는 것을 포함한다.
위협 공격자는 VPN 및 RDP와 같은 외부 원격 서비스를 통해 표적 네트워크에 대한 초기 액세스 권한을 얻는다. 그런 다음 유출된 자격 증명을 사용해 내부 VPN 액세스 포인트에 인증한다. 특히, 이 그룹은 피싱 시도에 마이크로소프트의 넷로그온 원격 프로토콜에 있는 제로로곤(CVE-2020-1472)과 같은 취약점을 악용했다.
운영 체제에 내장된 기본 네트워크 관리 도구를 사용하는 '오프 더 랜드' 기법은 이 그룹의 또 다른 특징이며, 이를 통해 악의적인 작업을 은밀하게 수행할 수 있다.
한국 의료기관 및 기업들도 각별한 주의를 기울여야 할 상황이다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★