220420_유명조달기업
마이크로소프트365에서 파일 암호화하는 랜섬웨어 발견
상태바
마이크로소프트365에서 파일 암호화하는 랜섬웨어 발견
  • 곽중희 기자
  • 승인 2022.06.17 17:56
  • 댓글 0
이 기사를 공유합니다

마이크로소프트 API, 명령줄 인터페이스(CLI) 스크립트, PowerShell 스크립트 통해 공격 자동화

마이크로소프트365 제품군에서 SharePoint, OneDrive에 저장된 파일을 암호화하는 랜섬웨어가 발견됐다.

프루프포인트 연구원에 따르면, 해커는 랜섬웨어를 통해 Office 365, 마이크로소프트 365에서 해독 키 없이는 복구할 수 없게 파일을 암호화하는 것으로 알려졌다.

연구원은 이번 공격에 대해 “파일을 복구할 수 있는 방법은 복호화 키를 받기 위해 몸값을 지불하는 것 뿐이다. 또한 이 공격은 마이크로소프트 API, 명령줄 인터페이스(CLI) 스크립트, PowerShell 스크립트를 사용해 자동화될 수 있다”라고 설명했다.

이 랜섬웨어 공격의 프로세스는 다음과 같다.

• 초기 접근:  하이재킹을 통해 사용자의 SharePoint Online 혹은 OneDrive 계정에 대한 접근 권한을 얻는다.

• 계정 탈취-검색: 사용자가 소유하거나 타사 OAuth 응용 프로그램이 제어하는 모든 파일에 접근한다.

• 수집-반출:  파일의 버전 제한을 1과 같은 낮은 숫자로 낮춘다. 버전 제한보다 더 많이 파일을 암호화한다. 예제 제한이 1인 경우 파일을 두 번 암호화한다. 이 단계는 엔드포인트 기반 랜섬웨어에 대한 공격 체인과 비교해 클라우드 랜섬웨어에 해당한다. 경우에 따라 해커는 암호화되지 않은 파일을 유출할 수도 있다.

• 몸값 요구:  이제 모든 파일이 암호화된 채로 클라우드 계정에 남는다. 이를 통해 해커는 몸값을 요구한다.

연구원에 따르면, 이 랜섬웨어는 사용자가 OneDrive 혹은 SharePoint Online에 저장된 파일을 편집할 때 이전 파일 버전의 클라우드 백업을 생성하는 AutoSave 기능을 사용한다. 이를 통해 해커는 아주 많은 버전의 파일을 복사하거나, 문서 라이브러리의 버전 제한을 1과 같이 낮은 값으로 줄여 각 파일을 버전 제한보다 더 많이 암호화할 수 있다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.