Play 랜섬웨어 - 이메일 주소만 남기는 악성코드

닉맨 2022.09.23 10:56:17

Play 랜섬웨어는 공격 방식이 기존에 알려진 Hive 랜섬웨어와 유사 한 특징이 있습니다

 

VPN 또는 Microsoft Exchange 서버의 취약점을 이용하여 공격한 것으로 보이며

 

최초 기업 네트워크 엑세스 권한을 획득후 내부 네트워크 검색및 접근 권한 획득을 위한

 

계정 정보를 수집하여 랜섬웨어 감염에 사용 하였습니다

 

또한, WinSCP 전송 프로그램을 사용하여 랜섬웨어 감염 이전에 기업 내부 자료를 외부로 유출 시킵니다

 

이렇게 유출된 자료를 유포 하겠다는 협박을 하여 몸값요구와 함께 이중으로 협박하는 형태 입니다

 

따라서, Microsoft Exchange 서버의 최신 보안 업데이트는 물론 VPN계정 역시 수시로 변경하여 노출 되지 않도록 해야 할 것 입니다

 

확장자 변경은 "문서.txt.PLAY" 형태로 변경되며

 

안내 파일은 "ReadMe.txt" 파일이 생성됩니다

 

안내 파일에는 연락을 위한 이메일 주소만 적혀 있습니다

백업웨어.png

 

 

 

 

 

 

해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다

 

가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다

 

데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다