지난 주말, 뉴올리언스 공무원들은 기자 회견에서 도시가 랜섬웨어 공격을 받았고 해당 사고를 12월 13일 오전에 발견했다고 발표했다.
IT 관련 부서 직원들은 즉시 사고에 대해 알리고, 직원 전체의 컴퓨터 전원을 끄도록 처리했다. 공개 스피커를 통해 가능한 빨리 컴퓨터를 끄고 플러그를 뽑도록 했다. 시스템을 감염시킨 랜섬웨어 종류가 밝혀지지 않았을 때, 모든 장치들은 도시 네트워크와의 연결이 끊겨 있었다.
이제 공격에 대한 추가 정보가 미디어에서 공유되고 있다. 바이러스토탈 검색 서비스에 업로드된 파일에 따르면, 뉴올리언스 시와 관련된 랜섬웨어는 Ryuk 랜섬웨어일 가능성이 높다.
해당 공격 다음날인 2019년 12월 14일에는 의심스러운 실행 파일 메모리 덤프가 미국 IP 주소에서 바이러스토탈에 업로드 되었다. 외신은 “뉴올리언스와 Ryuk에 대한 많은 레퍼런스가 포함된 메모리 덤프 중 하나는 Red Flare Security의 Colin Cowie에 발견되었고 공유되었다”고 설명했다.
Cowie가 발견한 덤프는 yoletby.exe라는 실행 파일과 연관되어 있고, 도메인 이름, 도메인 컨트롤러, 내부 IP 주소, 사용자 이름, 파일 공유를 포함한 뉴올리언스 시에 대한 레퍼런스를 포함하고 있다. Ryuk 랜섬웨어가 해당 멀웨어 계열이 뉴올리언스 시를 공격하는데 사용되었음을 암시하는 상황이다.
Cowie는 또한 덤프가 HERMES 파일 마커, .ryk로 끝나는 파일명, RyukReadMe.html 랜섬 노트를 생성한 레퍼런스를 포함하고 있음을 발견했다.
외신 또한 “v2.exe 메모리 덤프에 특히 관심이 있는 것은 뉴올리언스 시청을 나타내는 문자열이다. 해당 실행 파일을 실행한 후 Ryuk 랜섬웨어임을 확인할 수 있었다.”고 설명했다.
★정보보안 대표 미디어 데일리시큐!★