토요타그룹 금융 사업을 총괄하는 토요타파이낸셜서비스(Toyota Financial Services)가 랜섬웨어 그룹 메두사(Medusa)에 의한 공격으로 유럽과 아프리카 일부 시스템에서 무단 액세스가 검출됐다고 인정했다.
토요타파이낸셜서비스는 토요타가 자동차를 판매하는 시장 90%에서 금융 서비스를 제공하는 글로벌 기업이다. 11월 16일 랜섬웨어 그룹 메두사가 다크웹에 있는 이 그룹에 의한 사이버 공격을 받은 피해자 목록을 갱신해 토요타파이낸셜서비스를 추가했다. 메두사는 토요타파이낸셜서비스에서 훔친 데이터를 인질로 삼아 800만 달러 몸닶을 요궇고 있다. 메두사는 토요타파이낸셜서비스 측에 10일간 몸값 지불 기간을 마련하고 1만 달러로 지불 기한을 1일 연장할 수 있는 옵션도 제공하고 있다고 한다.
메두사는 토요타파이낸셜서비스에서 데이터를 훔친 걸 증명하기 위해 회사 재무 서류, 스프레드시트, 구매 송장, 해시된 계정 비밀번호, 일반 텍스트 사용자 ID와 비밀번호, 계약서, 여권 스캔, 내부 조직도, 재무 실적 보고서, 직원 이메일 주소 등 샘플 데이터를 게시했다. 또 메두사는 토요타파이낸셜서비스에서 훔친 데이터 파일 트리 구조를 포함한 텍스트 파일도 공개했다.
또 공개된 문서 대부분이 독일어이기 때문에 해커가 중앙 유럽에서 토요타 사업에 서비스를 제공하는 시스템에 액세스한 걸 알 수 있다. 보도에선 랜섬웨어 공격에 대해 회사 측은 토요타파이낸셜서비스 유럽과 아프리카는 최근 제한된 거점 시스템에서 무단 액세스를 확인했다며 이 사기 행위를 조사하고 위험을 줄이기 위해 특정 시스템을 오프라인으로 만들고 법 집행 기관과의 협력을 시작한 상태라고 밝혔다. 또 랜섬웨어 공격 영향을 받은 시스템 상황에 대해 이미 시스템이 정상 작동하기 때문에 복귀 작업이 진행 중이라고 덧붙였다.
한 보안 분석가는 토요타파이낸셜서비스 독일 사무실에 인터넷에 공개된 시트릭스 게이트웨이 엔드 포인트가 있으며 지난 8월 이후 업데이트되지 않아 심각한 취약성(Citrix Bleed)에 취약하다고 지적하고 있다. 관련 내용은 이곳에서 확인할 수 있다.