Akira 랜섬웨어의 공격 디테일을 공개한 에너지 기업 - 보안기사 읽기 7주차 2일

BHI 에너지 기업에서 Akira 랜섬웨어 사건에 대해서 공개했습니다.

 

6월에 처음 access했었던 akria 랜섬웨어는

써드파티를 통해서 계정 및 initial access 얻을 수 있었고,

결국 내부망으로 가기위한 VPN 연결까지 할 수 있게 되었습니다.  

 

네트워크 상에서 암호화된 채 돌아다녔습니다.

9일에 거쳐 액티브 디렉토리에 DB대해서 390GB 가량의 용량을 dump 했습니다.

그 후로 랜섬웨어를 배포했습니다.

 

랜섬웨어를 당했지만 BHI 클라우드 솔루션에는 영향이 가지 않았기 때문에

(또는 공격자들이 노렸지만 공격에 실패했기 떄문에)

decyption 도구를 사용하는 거 없이 백업을 할 수 있었고 전체 네트워크에서도 지웠습니다.

 

 

거기엔 896명의 (social security numbers, health information 등) 개인정보들이 들어가 있었고

24달의 전문가 멤버쉽을 제공한다고 했습니다.