미국 연방수사국(FBI)이 오리건 주 의료 기관 Oregon Anesthesiology Group, PC(OAG)이 최근 겪은 데이터 침해에 대한 수사 중, 2021년 1월부터 활동을 시작한 랜섬웨어 조직 헬로키티(HelloKitty, FiveHands로도 불림)가 우크라이나에서 활동 중인 것을 우연히 발견했다.
OAG는 7월 11일에 사이버 공격을 당했고 일시적으로 서버가 잠겼다. 이후 FBI는 OAG 환자 및 직원 파일이 포함된 우크라이나 해킹 그룹인 헬로키티 계정을 압수했다고 10월 21일 OAG에 알렸다. FBI는 헬로키티가 타사 방화벽의 취약점을 악용하여 해커의 네트워크 침입을 도운 것으로 보고 있다.
FBI는 11월 헬로키티 랜섬웨어의 진화에 대해 민간 단체에 경고하는 플래시 경보를 발표한 바 있다. 경고에 따르면 이들은 갈취 활동의 일환으로 디도스 공격을 진행하고 있다.
랜섬웨어 조직은 피해자들이 대가를 지불하지 않을 경우 디도스 공격으로 웹사이트를 공격한다. 헬로키티 랜섬웨어 그룹은 다른 랜섬웨어 조직과 마찬가지로 이중 갈취 모델을 구현해 피해자의 개인적인 문서를 암호화하기 전에 훔친다. 그렇게 훔친 데이터를 유출하여 피해자를 협박하는데, 피해자의 경제적 능력에 상응하는 비트코인 지불을 요구하는 것으로 알려져 있다.
이들은 네트워크 보안 소닉월(SonicWall)의 결함을 악용하거나 손상된 자격 증명을 사용하는 등 여러 기술을 사용하여 대상의 네트워크를 침해한다.
한편, 지난 5월에는 미국 국토안보부 산하의 사이버보안 및 인프라 보안국(CISA) 도 FiveHands 조직에 대한 분석 보고서(AR21-126A)를 발표했지만, 조직의 활동 위치는 공개하지 않았다.
우연히 거점이 드러난 헬로키티는 이제 경찰의 감시로부터 벗어날 수 있는 다른 나라로 활동지를 옮기며 잠정적으로 활동을 중단하게 될 것으로 보인다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
