미국의 여행사 CWT가 랜섬웨어에 걸려서 약 53억원을 지불한 대화내역이 공개
(threadreaderapp.com)- Ragnar Locker 랜섬웨어에 걸려서 비트코인으로 $4.5M을 주고 해결
- 해커랑 마치 비즈니스 관계의 대화 처럼 협상이 진행되는게 눈길을 끔
1. 3만대의 기기가 감염되었으니, 암호 해제와 자신들이 다운로드한 데이터를 자신들의 서버에서 다 지우는 조건으로 $10M를 요구
2. 천만달러면 우리가 이 자료를 공개했을때 니네가 입게될 법적 소송이나 평판하락 같은거에 비하면 싼거야~
3. 랜덤으로 몇개의 파일을 "무료"로 풀어줘서 자신들이 해제할 수 있다는 걸 보여줌
4. 2일내에 연락하면 특별가로 할인해 준다면서 $10M은 비싼거 아니야? 라고 물어봄
5. (화면에 없지만 아마도 20%할인한 $8M을 제시한듯)
6. $8M은 우리 매출을 두배로 늘리지 않는한 어려워. 오늘 당장 마련해서 줄 수 있는 현금이 $3.7M 밖에 없어
7. 20%도 크게 할인해준거고 5%정도까지는 추가로 가능한데 그 가격은 힘들어.. $4M 정도면 암호해독기 먼저 받고, 나머지를 나중에 주면 우리가 가진 니네 데이터를 지우거나 하는건 어때?
8. 돈 지불후, "앞으로 이런 일 안 생기게 하려면 이렇게 하는걸 추천해" 하면서 보안 어드바이스를 던져줌
- 로컬 암호는 꺼.
- 관리자 세션은 강제 종료시켜.
- 그룹 정책에서 WDigest 값을 0으로 설정해. UseLogonCredential 값이 0 이면 메모리에 저장 안하거든
- 매달 암호는 바꿔.
- 사용자에게 준 권한을 확인해서 최소화 하고 자신들이 딱 필요한 앱에서만 접근하게 해
- 대부분의 경우 Applocker 정도면 다 지킬수 있어
- 꼭 필요한 어플리케이션만 실행하도록 승인해
- 안티바이러스만 믿지마. 장기적인 감염이나 공격에는 도움될지 몰라도, 대부분이 도움 안됨
- EDR(Endpoint Detection and Response Security)을 설치하고 IT 관리자들한테 그거 사용하라고 해
- 큰 회사들은 적어도 3명의 시스템 관리자가 24시간 일하는걸 추천하고, 4명의 관리자가 하루에 8시간씩 3교대 하는 정도면 충분할꺼야
* CWT는 회사들의 출장/회의/인센티브/전시회 등을 관리해주는 B2B 대상 전문 여행관리 회사로, 1994년에 창업해서 145개국을 커버하는 직원수 18000명의 회사입니다. 년 매출은 1.8조원쯤 됩니다.
얼마전 Garmin도 랜섬웨어에 걸려서 시스템이 몇일동안 셧다운되어서 난리였다가 몇백만불 주고 해결했는데요. 큰 회사일수록 더더욱 보안에 신경써야 할듯.
https://engadget.com/garmin-cyber-attack-ransomware-payment-180211805.…