콜럼버스 데이터 침해로 주민 50만 명 피해

오하이오주 콜럼버스에 거주하는 약 500,000명의 개인 데이터는 상대적으로 새로운 형태지만 점점 악명을 떨치고 있는 사이버 범죄 조직인 Rhysida의 도시 네트워크 시스템에 대한 랜섬웨어 공격으로 인해 노출되었습니다. 은행 계좌 정보, 사회 보장 번호 등의 개인 정보는 이전에 보건부와 칠레 군대를 표적으로 삼았던 사이버 범죄 그룹에 의해 유출되었습니다. 사건의 전체 규모는 10월 7일 시가 메인주 법무장관실에 제출한 데이터 유출 통지서에서 드러났는데, 이는 메인 주 주민 24명을 포함해 50만 명에게 영향을 미쳤다는 내용입니다.

영향을 받은 사람들에게 보낸 편지에는 관련 데이터에 성과 이름, 생년월일, 주소, 은행 계좌 정보, 운전 면허증 번호, ​​사회 보장 번호 등의 개인 정보가 포함될 수 있다고 명시되어 있습니다. 앤드루 긴터 콜럼버스 시장은 지난 8월 데이터 유출을 확인했지만 대부분의 데이터가 손상되거나 암호화되었다고 밝혔습니다. 그러나 보안 연구원 David Leroy Ross는 이러한 주장에 대해 이의를 제기했습니다.

Ross는 Rhysida가 다크 웹에서 유출한 데이터에 접근하여 언론 매체와 샘플을 공유했으며, 훔친 정보에는 암호화되지 않았으며 시 직원, 주민, 가정 폭력 피해자와 같은 취약한 개인의 개인 정보가 포함되어 있다고 주장했습니다. 콜럼버스 시는 로스가 도시의 훔친 데이터를 승인되지 않은 제3자와 공유하겠다고 위협했다고 주장하며 로스를 상대로 소송을 제기했습니다. 프랭클린 카운티 판사는 로스가 해당 정보를 유포하는 것을 금지하는 임시 금지 명령을 발부했습니다.

시 행정부는 개인정보가 잠재적으로 노출된 개인을 식별하는 과정에 있으며 앞으로 몇 주 안에 영향을 받는 모든 사람에게 통지와 추가 지침을 제공할 것이라고 밝혔습니다. 2024년 7월 18일, 콜럼버스 시에서는 IT 인프라를 중단하고 랜섬웨어를 배포하고 몸값을 요구하려는 시도를 발견했습니다. 콜럼버스 시는 7월 29일 성명을 통해 “위협 행위자의 활동이 확인되자 시는 시스템과 데이터를 추가로 보호하기 위해 즉시 국토안보부와 협력했다”고 밝혔다.

콜럼버스 시의 고객은 9월 12일에 위협 행위자의 활동이 중단되었지만 “이 사건으로 인해 위협 행위자가 시 직원 계정 번호 및 직위, 시 고용을 포함한 특정 민감한 개인 정보를 보고 접근할 수 있게 됐다”는 통지를 받았습니다. 급여 기록, 사회 보장 번호.

콜럼버스 랜섬웨어 공격으로 개인정보 노출

Columbus 공격을 담당한 Rhysida 랜섬웨어 그룹은 사이버 범죄 분야에서 상대적으로 새로운 플레이어이지만 공격적인 전술과 세간의 이목을 끄는 표적으로 인해 빠르게 악명이 높아졌습니다.

2023년 5월에 처음 발견된 Rhysida는 이중 갈취 기술을 사용하여 피해자에게 몸값을 지불하도록 압력을 가하는 RaaS(Ransomware-as-a-Service)로 작동합니다. 이 그룹은 피해자의 데이터를 암호화할 뿐만 아니라, 피해자의 요구가 충족되지 않으면 다크웹에 게시하겠다고 위협합니다. Rhysida는 악성 첨부 파일이 포함된 스피어 피싱 이메일, 패치되지 않은 취약점 악용, 원격 데스크톱 프로토콜(RDP) 및 가상 사설망(VPN) 공격 등 다양한 방법을 사용하여 시스템에 침투하는 것으로 알려져 있습니다.

Rhysida는 콜럼버스 시 외에도 교육 및 정부 기관을 표적으로 삼았습니다. 2024년 5월, 그들은 칠레 군대의 시스템을 침해하여 민감한 군사 문서를 유출했습니다. 2023년 8월, 보건복지부는 Rhysida가 여러 의료 서비스 제공자와 병원을 공격한 후 경보를 발령했습니다.

이 그룹의 활동은 Vice Society 랜섬웨어 그룹과 비교되었으며 일부 보안 전문가는 Rhysida가 브랜드 변경 또는 파생물일 수 있다고 제안했습니다. 두 그룹 모두 유사한 전술을 공유하며 교육 및 의료 기관을 표적으로 삼는 것으로 알려져 있습니다. “Vice Society와 Rhysida의 타임 라인은 전술과 마찬가지로 겹칩니다.

연구원들이 그룹 간의 연관성을 깨달은 2023년 8월 이후 Vice Society에 대한 소식은 많지 않았습니다.”라고 사이버 보안 회사 Barracuda는 랜섬웨어 그룹에 대한 블로그 게시물에서 말했습니다. “Vice Society 및 Rhysida와 같은 이름의 문제점은 서로 쉽게 이동할 수 있는 개별 위협 행위자 클러스터를 위한 임시 브랜드일 뿐이라는 것입니다. 브랜드 뒤에 있는 위협 클러스터는 브랜드가 폐쇄되거나 단순히 사라질 때에도 항상 활성화되어 있습니다.”라고 덧붙였습니다.