韓 금융기관 강타한 랜섬웨어 조직, 한달전 두바이 종합병원까지 털었다 작성일 07-22 7 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">카스퍼스키, '건라(Gunra)' 랜섬웨어 기술분석 보고서<br>폴더별 랜섬노트 생성, 협상 미응답 시 다크웹 정보 공개 협박</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="QYI3UzJq5d"> <figure class="figure_frm origin_fig" contents-hash="42c76b1ec9cf51688817a930013cb3404b413ce6a02d72e593e97a9ebed29b7f" dmcf-pid="xGC0uqiB1e" dmcf-ptype="figure"> <p class="link_figure"><img alt="[서울=뉴시스]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/22/newsis/20250722103142384hznw.jpg" data-org-width="700" dmcf-mid="PnqJLaTNXJ" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/22/newsis/20250722103142384hznw.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [서울=뉴시스] </figcaption> </figure> <p contents-hash="4e771abbabbda5f5d3816d1638795ea759e31879b3b4d254acfcb19ef3ab8b27" dmcf-pid="yefNcDZwtR" dmcf-ptype="general"><br> [서울=뉴시스]송혜리 기자 = SGI서울보증이 랜섬웨어 공격에 사흘간 업무 차질을 빚은 가운데, 이 공격에 사용된 랜섬웨어가 한달 전 두바이종합병원까지 해킹공격에 사용된 것으로 드러났다.</p> <p contents-hash="5410570b244a1296c180e137b29662b03f64875335aafabca12b4240da4f1114" dmcf-pid="Wd4jkw5rZM" dmcf-ptype="general">22일 글로벌 사이버 보안기업인 카스퍼스키는 신종 랜섬웨어 '건라(Gunra)'에 대한 기술 분석 보고서를 내놨다. '건라'는 최근 SGI서울보증 해킹공격에 사용된 것으로 추정되는 랜섬웨어다. </p> <p contents-hash="615fc2c8329dbb307e54886d982dbd05fb6960ee9be75649d1f3d1dcadb5210e" dmcf-pid="YJ8AEr1m5x" dmcf-ptype="general">이 보고서에 따르면, 건라는 2022년 유출된 콘티(Conti) 랜섬웨어의 소스코드를 기반으로 파생된 프로그램이다. 카스퍼스키가 건라 랜섬웨어의 주요 구성 코드를 비교한 결과, 약 25% 이상이 과거 '콘티' 랜섬웨어 코드와 구조적으로 비슷했다. 콘티는 러시아어권 랜섬웨어 조직으로 2022년 이후 사실상 해체됐다.</p> <p contents-hash="a2697fcda665131c7eb2541e8832cf266d0d227a363a3671aa65bac88b08b223" dmcf-pid="Gi6cDmtstQ" dmcf-ptype="general">'건라'를 주무기로 내세운 랜섬웨어 조직은 활동기간은 짧지만 보건의료, 보험, IT 인프라 관리기업 등 고가치 산업군을 집중적으로 노리고 있는 고도화된 위협 그룹으로 평가된다. 특히 지난달에 40테라바이트(TB) 이상의 환자 데이터가 유출된 두바이 아메리칸 호스피탈 두바이 해킹 사건도 이들의 소행으로 알려졌다.</p> <p contents-hash="cc7ee553f78100e44edf870514aba82f402129854b1a9ccedfb3b77841d9fc62" dmcf-pid="HnPkwsFOYP" dmcf-ptype="general">건라는 피해자에 접근하기 위해 다양한 접근 기법을 사용한다. 이메일을 통한 악성 문서·매크로 실행, 패치되지 않은 방화벽(VPN) 소프트웨어 및 공개 취약점(CVE) 이용, 인터넷에 노출된 RDP(Remote Desktop Protocol)에 대한 비밀번호 크래킹 또는 취약점 공격 등의 세 가지 방법이 자주 활용됐다.</p> <p contents-hash="6c8dc87b7d9ec980edd34aeb15b8412f6f4c22ca3b436bd81a81968062923277" dmcf-pid="XLQErO3IX6" dmcf-ptype="general">내부 시스템에 침투하면 시스템 내 각 폴더마다 'R3ADM3.txt'라는 랜섬노트를 자동 생성한다. </p> <p contents-hash="a7942798cd36ad444115110f3b47cf6add46dd6016a51fb53c550748d3707d38" dmcf-pid="ZoxDmI0CZ8" dmcf-ptype="general">이 파일에는 피해자가 협상 사이트에 접속하도록 유도하는 내용과 협상이 이뤄지지 않을 경우 다크웹 내 자신들의 전용 블로그에 피해 정보를 공개하겠다는 협박 문구가 담겨있다. 실제로 건라 운영자들은 다크웹에 구축한 인프라를 통해 자신들이 공격에 성공한 기업에 대한 감염 사실을 알리는 사이트를 운영하고 있다. </p> <p contents-hash="f74d1e06c546500adb896186617e2b5eb12bbbeed5c6a83cac6a7b31a2bffa09" dmcf-pid="5gMwsCphX4" dmcf-ptype="general">건라는 감염된 시스템 내 모든 파일을 이중 암호화해서 피해자가 복원할 수 없도록 한다. 'ChaCha20'라는 알고리즘을 사용해 파일 내용을 암호화한 뒤 다시 그 키를 다시 'RSA-2048'라는 키로 비대칭 암호화하는 방식으로 작동한다. </p> <p contents-hash="51a7172691ef90140051110d97a4bff65451484647b0ee0bd2de7de8a334f9ab" dmcf-pid="1x9oNcGk5f" dmcf-ptype="general">암호화 대상 파일은 문서(.docx, .xlsx), 데이터베이스(DB) 파일(.sql, .sqlite), 가상머신 이미지(.vmdk, .vhdx) 등 기업 핵심 자산이 포함되며, .dll, .lnk, .sys 등 운영체제에 치명적인 영향을 주는 파일은 의도적으로 제외해 협상의 여지를 남겨둔다.</p> <h3 contents-hash="ca9e6764f378bb50f11cae0d8b8a8fa429e3560187b279b3816530754b055c39" dmcf-pid="tM2gjkHEtV" dmcf-ptype="h3"><strong>보안도구 최신 버전으로 유지…유출 시 대응 시나리오도 마련</strong></h3> <div contents-hash="efa29aaf81a127bf6043e1f104f3fd53fe4ac71c0e478c3c7fb8c59f599c76f5" dmcf-pid="FRVaAEXDX2" dmcf-ptype="general"> <strong> 카스퍼스키는 건라 랜섬웨어 감염을 방지하기 위해 RDP(Remote Desktop Protocol) 포트 제한과 다단계 인증(MFA) 활성화를 비롯해 전체 시스템 백업과 오프라인 데이터 저장을 권고했다. <br><br> 아울러 엔드포인트 탐지및대응(EDR), 네트워크 탐지및대응(NDR) 등에 최신 악성코드 탐지룰을 반영하고, 침해 지표(IOC) 기반 로그 모니터링을 강화할 필요가 있다고 밝혔다.<br><br> 카스퍼스키는 이와 함께 협박성 다크웹 데이터 유출에 대응하기 위한 법적 자문 체계 구축과 데이터 유출 대응 시나리오 수립도 병행해야 한다고 강조했다.<br><br> 이효은 카스퍼스키 한국지사장은 "건라는 RaaS 시장의 또다른 진화된 버전"이라며 "고급 랜섬웨어 기술의 재활용과 정교화는 향후에도 대형 기관과 기간 산업 등 고위험 산업군을 대상으로 한 집중적 위협이 향후에도 지속될 가능성이 높다"고 우려를 표했다.<br><br><br><span>☞공감언론 뉴시스</span> chewoo@newsis.com </strong> </div> </section> </div> <p class="" data-translation="true">Copyright © 뉴시스. 무단전재 및 재배포 금지.</p> 관련자료 이전 [조성진의 가창신공] 역대 최고의 R&B 아티스트는? 07-22 다음 ‘은수 좋은 날’ 이영애, 관록의 에너지 07-22 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
!['쉬는부부' 검진표 이후 합방 성공?..."각방 끊어볼게 안아줄게"[종합]](https://t1.daumcdn.net/news/202307/18/tvreport/20230718005204995wmju.jpg)
!["애아빠, 아동수당으로 도박+폭력까지" 절박한 심정으로 SOS [고딩엄빠3]](https://t1.daumcdn.net/news/202307/18/mydaily/20230718004505971gzch.jpg)
!['장백지 스캔들' 사정봉, 10년 만에 아들과 함께 있는 모습 포착 [룩@차이나]](https://t1.daumcdn.net/news/202307/18/tvreport/20230718004034360pmkk.jpg)
![‘결혼지옥’ 사막부부 아내 “빚에 예물까지 팔아.. 남편, 분유 비싸니 모유 수유하라고”[종합]](https://t1.daumcdn.net/news/202307/18/poctan/20230718003031923dkkf.jpg)
![추자현♥ 우효광, ‘동상이몽2’ 4년 만 컴백... ‘6살 子’ 육아 일상 공개 [종합]](https://t1.daumcdn.net/news/202307/18/startoday/20230718002705384wudc.jpg)
![비비 '볼하트에 동그란 토끼 눈'[엑's HD포토]](https://mimgnews.pstatic.net/image/311/2023/07/18/0001617342_001_20230718180303538.jpg?type=w540)
![[포토]소연, 매력만점 하트](https://ssl.pstatic.net/mimgnews/image/112/2023/07/21/202307211149393697310_20230721115005_01_20230721115103586.jpg?type=w540)