바닐라 템페스트, 미국 의료 분야에 INC 랜섬웨어 공격: 성장하는 사이버 위협
랜섬웨어가 빠르게 발전하는 세계에서 바닐라 템페스트, 또는 부전사로 알려진 이 집단이 미국 의료 부문을 겨냥한 새로운 변종인 INC 랜섬웨어를 배포하면서 위협 수위가 높아졌습니다. 2022년 중반부터 활동을 시작한 바닐라 템페스트는 교육, IT, 제조 등 다양한 산업에 공격을 감행하며 악명 높은 명성을 쌓았습니다. 이제 INC 랜섬웨어가 추가됨으로써 의료 산업이 그들의 목표가 되었습니다.
위험한 새 장: INC 랜섬웨어
2023년 7월 최초 발견된 INC 랜섬웨어는 바닐라 템페스트의 전술에서 중요한 전환점을 나타냅니다. 이 그룹은 가치 있는 산업을 노리는 것으로 알려져 있으며, 의료 분야에 집중하는 것은 경고 신호로 받아들여져야 합니다. 종종 노후화된 인프라를 사용하는 의료 시스템은 경제적 이익을 추구하는 공격자에게 쉬운 표적이 됩니다. INC 랜섬웨어는 단순히 시스템을 잠그는 것에 그치지 않고, 민감한 데이터를 유출하여 의료 시스템의 기능과 환자의 개인정보를 위협합니다.
INC가 위험한 이유는 무엇일까요? 단순한 랜섬웨어의 변종이 아닙니다. 공격은 Gootloader 감염으로 시작되며, 이 공격자는 Storm-0494입니다. 이 말웨어는 목표 시스템에 침투하여 Supper(백도어), AnyDesk(원격 제어), MEGA(데이터 동기화 및 절도)와 같은 도구를 사용하는 길을 만듭니다. 공격자들은 원격 데스크톱 프로토콜(RDP)을 통해 네트워크 내에서 옆으로 이동하며 윈도우 관리 도구를 사용하여 악성 코드를 실행합니다. 그 결과, 중요한 의료 시스템이 혼란에 빠지면서 막대한 재정적 손실과 개인정보 유출이 발생합니다.
방해의 이력
바닐라 템페스트는 새로운 집단이 아닙니다. 그들의 이전 피해자들은 고프로파일 조직의 리스트처럼 보입니다. 모로코와 쿠웨이트의 IKEA 매장부터 로스앤젤레스 통합 교육구(LAUSD)까지, 이 집단은 지속적으로 방해와 폐쇄의 능력을 입증해왔습니다. 비록 확인되지는 않았지만, 그들은 미시간의 맥라렌 헬스 케어 병원에 대한 공격과도 관련이 있을 가능성이 높습니다. 의료 분야에 대한 이러한 공격은 민감한 의료 기록의 유출로 이어질 수 있어 기관과 환자 모두에게 파괴적일 수 있습니다.
왜 의료 분야가 조준되었나
의료 조직은 사이버 공격에 특히 취약합니다. 많은 조직이 여전히 구식 시스템과 약한 사이버 보안 방어에 의존하고 있어 바닐라 템페스트와 같은 집단의 매력적인 표적이 됩니다. 의료 데이터의 특성, 즉 매우 개인적이며 흑시장에서 가치가 높은 데이터는 사이버 범죄자에게 황금광산과 같습니다. 바닐라 템페스트는 이를 잘 알고 있으며, 새롭게 출시한 INC 랜섬웨어를 통해 이러한 약점을 무자비하게 이용하고 있습니다.
금융 분야는 때때로 랜섬웨어 공격을 견딜 수 있지만, 의료 시스템은 이러한 중단을 감당할 여력이 없습니다. 생명이 걸린 문제이며, 랜섬웨어 공격은 치료 지연, 수술 취소 및 환자 치료 위기를 초래할 수 있습니다. 바닐라 템페스트의 랜섬웨어-서비스(RaaS) 모델은 이러한 공격을 가속화할 가능성이 높으며, 이미 압박을 받고 있는 산업에 추가적인 부담을 줄 것입니다.
바닐라 템페스트의 운영 방식
이 집단은 유동적인 접근 방식으로 유명하며, 블랙캣, 퀀텀 로커, 제펠린, 리사이드, 헬로키티/파이브핸즈와 같은 다양한 랜섬웨어 페이로드 사이를 자주 전환합니다. 어떤 경우에는 암호화 단계를 건너뛰고 단순히 데이터를 탈취하기도 합니다. 이는 재정적 강탈을 극대화하는 방법입니다. 그들의 유연성은 현재 활동하고 있는 가장 위험한 랜섬웨어 그룹 중 하나로 만들어 줍니다.
의료 분야에 대한 최근의 집중은 단순히 암호화하는 것이 아니라 시스템이 잠기기 전에 데이터를 탈취하는 것입니다. 이러한 이중적인 위협은 피해자에게 운영 중단뿐만 아니라 환자들의 민감한 정보가 판매되거나 노출될 위험을 증가시킵니다.
대응하기: 지금 필요한 일
바닐라 템페스트와 INC 랜섬웨어의 출현은 즉각적이고 단호한 행동을 요구합니다. 의료 조직은 패치 관리, 정기적인 위협 정보 공유 및 강력한 사용자 인식 교육과 같은 선제적 전략을 통해 사이버 보안 방어를 강화해야 합니다. 구식 인프라에 의존하는 시대는 지났습니다. 적응하지 않는 자는 지속적으로 정교한 사이버 범죄자에게 표적이 될 것입니다.
의료 제공자, 보안 회사 및 규제 기관 간의 협력이 필수적입니다. 이러한 공격은 사이버 범죄자들이 사회의 복지에 중요한 분야를 점점 더 목표로 삼고 있다는 증가하는 경향을 보여줍니다. 의료 산업은 재정적 손실 뿐만 아니라 이러한 공격이 초래할 수 있는 실질적인 인도적 비용에 대비해야 합니다.
의료 분야에서의 랜섬웨어의 미래
바닐라 템페스트의 INC 랜섬웨어 사용은 랜섬웨어 발전의 긴 문제투성이 이야기의 최신 장일 뿐입니다. 사이버 범죄자들이 끊임없이 전술을 강화하고 가장 취약한 분야를 공격하면서 의료 제공자들은 한 발 앞서 나가야 합니다. 위기 직면에서 중요한 것은 준비, 회복력, 그리고 사이버 보안에 대한 변함없는 헌신입니다. 시계는 ticking이 되고 있으며, 바닐라 템페스트와 같은 사이버 범죄자들은 이미 움직이고 있습니다.
주요 요점
- 바닐라 템페스트, 즉 부전사가 미국 의료 분야에 INC 랜섬웨어를 처음으로 배포했습니다.
- 마이크로소프트는 바닐라 템페스트의 Gootloader 감염 및 다양한 말웨어 도구 사용을 경고합니다.
- 이 집단은 RDP와 윈도우 관리 도구를 사용하여 네트워크 내에서 이동하고 랜섬웨어를 배포합니다.
- 바닐라 템페스트는 교육, 의료, IT 및 제조 분야를 목표로 하며, 종종 암호화 도구를 전환합니다.
- 주목할 만한 피해자에는 IKEA와 LAUSD가 있으며, 랜섬웨어 공격은 종종 데이터 유출과 상당한 지불로 이어집니다.
분석
바닐라 템페스트가 미국 의료 분야에 INC 랜섬웨어로 진입하는 것은 데이터 침해 및 재정적 손실을 증가시켜 환자 치료와 보험 비용에 영향을 미칠 수 있습니다. 마이크로소프트의 탐지는 이 집단의 정교한 전술을 강조하며, Gootloader 및 RDP를 활용한 측면 이동을 보여줍니다. 단기적으로 목표된 의료 제공자들은 운영 중단 및 잠재적인 데이터 유출을 겪을 수 있으며, 장기적으로는 사이버 보안 투자 증가와 규제의 감시가 예상됩니다. 금융 시장은 더욱 변동성이 커져 기술 주식과 사이버 보험료에 영향을 미칠 수 있습니다.
알고 계셨나요?
- 바닐라 템페스트 (부전사):
- 인사이트: 바닐라 템페스트, 또는 부전사는 2022년 중반부터 활동해 온 악명 높은 사이버 범죄 집단입니다. 이들은 교육、의료、IT 및 제조를 포함한 다양한 분야를 대상으로 랜섬웨어 공격에 전문화되어 있습니다. 적응력이 뛰어난 이들은 종종 다양한 랜섬웨어 암호화 도구 간을 전환하여 탐지를 피하고 공격의 효과를 극대화합니다.
- Storm-0494의 Gootloader 감염:
- 인사이트: Gootloader는 일반 소프트웨어 또는 문서로 위장한 악성 다운로드를 통해 시스템에 침투하는 유형의 말웨어입니다. Storm-0494는 Gootloader와 관련된 특정 변종 또는 캠페인으로, 바닐라 템페스트가 목표 시스템에 초기 접근을 얻는 주요 방법으로 사용됩니다. 내부로 침투한 후, 추가적인 말웨어 및 도구를 배포하여 공격을 확대합니다.
- 윈도우 관리 도구 제공자 호스트 (WMI):
- 인사이트: 윈도우 관리 도구 (WMI)는 시스템 정보를 접근하고 조작하기 위한 스크립팅 언어의 통합된 방법을 제공하는 윈도우 운영 체제의 핵심 구성 요소입니다. WMI 제공자 호스트 (wmiprvse.exe)는 윈도우 시스템에서 WMI를 실행하는 서비스입니다. 바닐라 템페스트는 WMI를 활용하여 INC 랜섬웨어를 배포하고, 이를 네트워크 전반에 걸쳐 악성 코드를 실행하는 도구로 사용합니다.