CWN(CHANGE WITH NEWS) - FBI·CISA, 랜섬웨어 조직 ′메두사라커′의 공격 경고

미국 연방수사국(FBI)과 사이버보안인프라국(CISA)이 최근, 랜섬웨어 조직 메두사라커(MedusaLocker)의 공격을 경고했다.

미국 IT 전문 매체 지디넷에 따르면, 2019년 등장한 메두사라커는 코로나19 확산 초기, 보건 기관에 심각한 피해를 주면서 기승을 부렸다.

메두사라커는 초기 공격으로 피해 기관의 네트워크 접근 권한을 손에 넣은 뒤 파워셸(PowerShell) 스크립트를 이용해 기기 등록 정보를 편집하는 네트워크로 랜섬웨어 공격을 펼친다. 이후 모든 파일 폴더에 랜섬 경고와 피해자의 암호화된 데이터를 배치했다.

메두사라커는 콘티(Conti)나 락비트(Lockbit)와 같은 서비스형 랜섬웨어(RaaS) 조직보다 범죄 수익이 적은 펴니지만, 여전히 매우 심각한 보안 위협을 제기했다. 특히, 지난해 1분기에는 로빈후드(RobbinHood), 메이즈(Maze), 포니파이널(PonyFinal), 발레 로더(Valet loader), 레빌(REvil), 라그너라커(RagnarLocker), 락비트(LockBit) 등과 함께 범죄 수익이 가장 높은 랜섬웨어 조직 중 한 곳에 포함되었다.

마이크로소프트는 메두사라커의 공격이 기승을 부리자 보건 기관에 VPN 엔드포인트 패치 작업과 원격 데스크톱 프로토콜(RDP) 보안 구성을 촉구했다.

또, 올해 5월에는 FBI, CISA, 재무부, 금융 범죄 집행 네트워크(FinCEN) 등으로 구성된 사이버 보안 협력체인 사이버보안 기관(CSA)은 메두사라커가 피해자 네트워크에 접근할 의도로 원격 데스크톱 프로토콜(RDP) 결함을 악용한 사례가 급격히 증가했다고 경고했다.

한편, CSA는 "메두사라커는 랜섬웨어 공격 시 RaaS 모델을 동원하는 것으로 확인됐다. 머두사라커 랜섬웨어 결제는 공격 개시 조직과는 철저히 분리되었다. 지금까지 피해 기관 55~60%가 메두사라커에 암호화 해제 비용 결제 전문 조직에 데이터 비용을 건넸다"라고 설명했다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]