상세 컨텐츠

본문 제목

HelloKitty 랜섬웨어, 피해자에 DDoS 공격도 수행해

국내외 보안동향

by 알약4 2021. 11. 2. 14:00

본문

 

HelloKitty ransomware gang also targets victims with DDoS attacks

 

FBI HelloKitty 랜섬웨어 그룹 (FiveHands로도 알려짐)의 새로운 기능에 대해 플래시 경보를 발행했습니다.

 

경고에 따르면, 해당 랜섬웨어 공격자는 분산 서비스 거부(DDoS) 공격을 실행하고 있었습니다.

 

Hello Kitty/FiveHands 공격자는 보통 이중 갈취 기법을 통해 피해자를 공격적으로 협박했습니다. 피해자가 신속하게 대응하지 않거나 랜섬머니를 지불하지 않을 경우 공격자는 피해자 회사의 공개 웹사이트에 분산 서비스 거부(DDoS) 공격을 실행합니다.”

 

랜섬웨어 그룹은 랜섬머니 지불을 거부할 경우 피해자의 웹사이트에 DDoS 공격을 실행했습니다. HelloKitty 랜섬웨어 그룹도 다른 랜섬웨어와 마찬가지로 이중 갈취 모델을 구현해 파일을 암호화하기 전에 피해자의 중요한 문서를 탈취합니다. 그 후 훔친 데이터를 유출한다고 협박하여 피해자가 랜섬머니를 지불하도록 합니다.

 

HelloKitty/FiveHands는 피해자의 경제적 능력에 상응하도록 다양한 금액을 비트코인(BTC)으로 지불할 것을 요구합니다.

 

또한 이 그룹은 SonicWall 취약점 (: CVE-2021-20016, CVE-2021-20021, CVE-2021-20022, CVE-2021-2002)을 악용하거나 해킹된 크리덴셜을 사용하는 등 여러 기술을 통해 타깃 네트워크를 해킹합니다.

 

"일단 네트워크 내부 침입에 성공하면, 공격자는 Cobalt Strike, Mandiant Commando 또는 PowerShell Empire와 같은 공개적으로 사용 가능한 침투 툴을 사용합니다. 또한 Bloodhound, Mimikatz와 같은 공개적으로 사용 가능한 툴을 통해 파일 유출 및 암호화 전네트워크를 매핑하고 권한을 상승시킵니다.”

 

HelloKitty 랜섬웨어 운영자는 2020 11월부터 활동했으며, 지난 7월부터 VMware ESXi 가상 머신 플랫폼을 타깃으로 악성코드의 Linux 변종을 사용하기 시작했습니다.

 

FBI에서 발표한 경고에는 조직에서 HelloKitty 감염을 방지하는 데 사용할 수 있는 IOC 또한 포함되어 있습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/124059/malware/hellokitty-ransomware-fbi-alert.html

https://www.ic3.gov/Media/News/2021/211029.pdf (IOC)

 

관련글 더보기

댓글 영역