CWT 랜섬웨어 공격 및 협상 내역 공개
Source
Evernote/Inbox/미국의 여행사 CWT가 랜섬웨어에 걸려서 약 53억원을 지불한 대화내역이 공개 GeekNews.md
Summary
미국 여행사 CWT가 Ragnar Locker 랜섬웨어 공격을 받아 약 53억 원(450 만 달러)을 지불한 사건에서, 피해자와 해커 간의 협상 대화 내역이 공개되었습니다. 해커는 초기에 1,000 만 달러를 요구했으나, CWT의 현금 유동성 한계를 이유로 400 만 달러로 협상되었습니다. 협상 과정은 비즈니스 거래처럼 진행되었으며, 해커는 암호 해독 능력을 증명하기 위해 일부 파일을 무료로 해제했습니다. 지불 후 해커는 WDigest 설정 변경, EDR 도입, 최소 권한 원칙 적용 등 구체적인 보안 강화 조언을 제공했습니다.
Key Points
- 피해사: 미국 B2B 여행 관리 회사 CWT (직원 18,000 명, 연매출 약 1.8 조 원)
- 공격자: Ragnar Locker 랜섬웨어 그룹
- 협상 과정: 초기 요구 1,000 만 달러 → CWT 현금 한계 제시(370 만 달러) → 최종 지불 450 만 달러 (약 53 억 원)
- 협상 특징: 해커가 ‘무료 파일 해제’로 능력 입증, 할인 조건 제시 등 비즈니스적 협상 진행
- 해커의 보안 조언: 로컬 암호 비활성화, WDigest 메모리 저장 방지, 정기적 암호 변경, 최소 권한 원칙, EDR 도입, 안티바이러스 의존도 감소
- 참고 사례: 가민(Garmin)의 랜섬웨어 공격 사례와 비교 언급