Royal 랜섬웨어 Dallas시의 네트워크 망가뜨리다. - 보안기사 읽기 2주차 6일

로얄 랜섬웨어가 dallas 시의 네트워크를 망가뜨렸습니다.

랜섬웨어로인해 IT 시스템을 셧다운시켯습니다.

처음 stolen account를 이용하여 시작했고 점점 넓혀갔습니다.

그 결과로 3만명의 텍사스 시민 정보(생년월일, identification card, 보험 정보, 주소 등) 1테라를 탈취했습니다.

 

 

C2 - cobalt strike 비콘을 시스템에 뿌렸고, 정상적인 default MS 암호화툴을 이용해 랜섬웨어 페이로드까지 심었습니다.

복원하는데만 5주의 시간이 걸렸고

5월 9일에 시작해서 6월 13일까지였습니다.  

 

정부는 9억원의 복구 예산을 지출했습니다.

 

랜섬노트가 프린터로 나왔다는 점도 특이합니다.

 

로얄 갱단은 conti 랜섬웨어갱단이 흩어진뒤로 후손으로 보여지고 있습니다.

처음에는 다른 갱단인척 ALPHV/BlackCat의 encryptor를 다른 걸 썼다면

요즘은 점차 자기가 직접만든 custom을 사용중입니다.