사이버 보안 및 인프라 보안국(CISA)과 FBI는 호주 사이버 보안 센터와 협력하여 LockBit 3.0 랜섬웨어의 Citrix Bleed 취약점 악용에 대한 업데이트된 경고를 발표했습니다. 러시아와 연계된 이 사이버 범죄 그룹은 보잉사의 자회사를 표적으로 삼았으며, 2023년 10월에 패치가 적용되기 전까지 몇 주 동안 비밀리에 악용된 Citrix 시스템의 이전에는 발견되지 않은 결함을 활용했습니다.
업데이트된 권고에는 10월의 취약점 패치 노력 이전에 발생한 초기 공격(CVE-2023-4966)에 대한 통찰력이 포함되어 있습니다. 맨디언트는 이러한 초기 공격을 확인했으며, 보잉 (NYSE:BA) 디스트리뷰션이 이 특정 랜섬웨어 변종에 대해 직접 경험한 내용을 바탕으로 자세한 정보를 제공했습니다. CISA의 수석 부국장인 에릭 골드스타인은 이번 사건에서 관찰된 침해 지표(IOC)와 전술, 기법 및 절차(TTP)를 공개했습니다.
이달 초, LockBit은 11월 2일 보잉에 몸값을 요구하며 데이터 유출 사이트에서 보잉을 잠시 삭제했다가 11월 10일로 새로운 기한을 설정하여 다시 등록했습니다. 이러한 움직임은 몸값 협상이 진행 중일 수 있음을 시사했습니다. 보잉은 유통 자회사의 사이버 보안 사고를 인정했지만 당시 랜섬웨어나 Citrix Bleed와의 연관성에 대한 구체적인 내용은 제공하지 않았습니다.
보잉과 FBI의 협력은 약 300개 기업에 시스템의 취약성을 알리는 데 결정적인 역할을 했으며, 이는 사이버 보안 위협에 대응하는 데 큰 역할을 했습니다. CISA의 에릭 골드스타인은 사이버 범죄자와 국가적 행위자 모두 데이터 도난이나 네트워크에 대한 추가 액세스 권한을 얻기 위해 Citrix Bleed를 악용할 수 있다는 점을 강조했습니다. 그는 또한 CISA에 중요한 기술 데이터를 제공한 보잉 디스트리뷰션에 대한 LockBit 공격 이후 공공-민간 부문의 협력에 대해 보잉을 칭찬했습니다.
LockBit 3.0은 중국공상은행, 영국 로열메일, 영국 핀테크 기업 등 여러 유명 사이버 공격에서 활약한 바 있습니다. 2023년 10월 사이버 공격으로 인해 보잉의 부품 웹사이트가 오프라인 상태가 된 후, LockBit은 초기 몸값 지불 기한이 지나자 회사 문서를 온라인에 공개했습니다. 보잉은 이번 침해로 인해 비행 안전에 위험이 발생하지 않았다고 주장하고 있습니다.
이 기사는 AI로 생성 및 번역되었으며 편집자가 한 번 더 검토했습니다. 자세한 내용은 이용약관을 참조하세요.