할리버튼(Halliburton)이 랜섬웨어 손상 징후가 담긴 이메일을 공급업체에 보낸 것으로 알려졌다.
8월 21일 미국 유전 서비스 계약업체인 할리버튼에 대해 랜섬웨어 공격이 이뤄진 것으로 추정된다. 또 이 회사가 공급업체에 발송한 이메일에 랜섬웨어 요소가 포함됐다는 분석이다.
블리핑컴퓨터(BleepingComputer)는 전송된 이메일 사본을 확인한 결과 이메일에 담긴 침해 지표(IOC ; indicators of compromise) 중 하나가 “랜섬허브 랜섬웨어 암호화기임을 확인할 수 있었다”라고 보고했다. 세계적 규모의 석유 서비스 회사인 할리버튼은 오늘날 전세계 주요 채굴용 파쇄 작업의 대부분을 담당하고 있다.
랜섬허브 암호화 요소 발견
이메일에 담긴 파일 이름과 IP 주소가 포함된 IOC를 분석한 결과, ‘maintenance.exe’라는 이름의 윈도우 실행 파일이 발견됐으며, 이 파일은 랜섬허브 암호화기(RansomHub encryptor)로 확인됐다.
여러 소셜 미디어를 통해 이 암호화기와 랜섬허브 사이의 연관성이 제기된 상태다. 그러나 아직 결정적 증거는 등장하지 않았다. CSO닷컴은 할리버튼에 의견을 듣기 위해 이메일을 보냈지만 기사 작성 시점까지 답변을 받지 못했다.
할리버튼이 공급업체에 보낸 이메일에는 “할리버튼에 영향을 미치는 사이버 보안 문제에 대해 알려드리고자 연락을 드린다. 우리는 이 문제를 알게 된 즉시 사이버 보안 대응 계획을 가동하고 (1) 특정 시스템을 보호하기 위해 선제적으로 오프라인 상태로 전환하고, (2) 맨디언트를 비롯한 주요 외부 자문의 지원을 받고, (3) 법 집행 기관에 알리는 등 문제를 해결하기 위한 조치를 취했다”라고 기술돼 있었다.
한편 FBI와 CISA는 랜섬허브 랜섬웨어 변종에 대한 공동 권고문을 발표하면서 이 변종이 록비트(LockBit) 및 ALPHV와 같은 다른 유명한 변종을 유입하는 강력한 서비스 모델이라고 밝혔다.
CISA는 권고문에서 “랜섬허브는 2024년 2월에 처음 등장한 이후 상하수도, 정보 기술, 정부 서비스 및 시설, 의료 및 공중 보건, 응급 서비스, 식품 및 농업, 금융 서비스, 상업 시설, 주요 제조, 운송 및 통신 중요 인프라 부문의 기업 210곳의 데이터를 암호화하고 유출했다”라고 밝혔다.
일부 시스템 셧다운 조치
SEC에 제출한 자료에 따르면, 이 사이버 공격으로 인해 할리버튼은 사건을 조사하는 동안 일부 시스템을 중단해야 했다. 이메일에 따르면 송장 및 구매 주문서 생성은 일시적으로 영향을 받았지만 이후 해결 방법이 등장했다.
회사는 서류에서 “2024년 8월 21일, 할리버튼 컴퍼니는 권한이 없는 제3자가 일부 시스템에 액세스한 사실을 알게 됐다. 회사의 대응 노력에는 특정 시스템을 사전에 오프라인 상태로 전환하여 보호하고 법 집행 기관에 알리는 것이 포함됐다. 무단 활동을 평가하고 시정하기 위해 외부 고문의 지원을 받아 내부 조사를 시작했다”라고 밝혔다. dl-ciokorea@foundryco.com
