랜섬웨어 는 데이터 암호화를 활용하여 조직에 상당한 몸값을 요구하는 악성 소프트웨어(맬웨어)의 한 형태로, 일단 지불하면 이론적으로 암호 해독 키를 사용하여 영향을 받는 데이터에 대한 액세스를 복원하거나 암호화를 해제합니다.
랜섬웨어는 사용자가 피싱 이메일이나 워터링 홀 공격과 같은 사회 공학 전술에 관여할 때 조직 환경에서 초기 발판을 마련하는 경우가 많습니다.
대부분의 랜섬웨어 공격의 경우 암호화는 중요한 파일, 시스템 및 애플리케이션에 대한 액세스를 제한하며 요구된 금액을 지불하지 않거나 거부하면, 해당 자산이 영구적으로 차단되거나 중요한 데이터가 사이버 범죄 지하에 유출될 수 있습니다.
일반적으로 허용되는 랜섬웨어 결제 방식에는 암호화폐, 신용 카드 결제 및 전신 송금이 있습니다.
지금까지 위협 행위자의 가장 중요하고 수익성 있는 성공을 감안할 때 랜섬웨어 공격은 오늘날 기업과 기관에 가장 보편적이고 재정적, 정보적으로 영향을 미치는 사이버 위협이 되었습니다.
미국 연방수사국(FBI)의 인터넷 범죄 신고 센터(IC3)는 2020년 한 해에만 IC3에 보고된 것만 기준으로 랜섬웨어 공격으로 인한 손실을 모두 합해 총 300억 달러에 달하는 것으로 추산했습니다.
랜섬웨어 공격이 정교해지고 규모가 커짐에 따라 매년 계속해서 증가하고 있습니다.
Contents
랜섬웨어 는 어떻게 작동합니까?
랜섬웨어는 특별히 코딩이 복잡하지 않습니다. 암호화 기능은 Windows 및 macOS 및 Linux와 같은 Unix 기반 시스템 모두에 기본적으로 존재합니다.
일부 공격자는 AV 소프트웨어의 탐지를 피하기 위해 자체 암호화 프레임워크를 패키지로 선택하지만 공격자가 선택할 수 있는 오픈 소스 프로젝트가 많이 있습니다.
게다가 SMAUG RaaS 및 Shifr Raas와 같은 Ransomware-as-a-Service 의 등장으로 공격자는 기성품 멀웨어를 구입하여 피해자에게 배포할 수 있습니다.
보고서에 따르면 이러한 종류의 서비스에 액세스하기 위한 포털이 급증하고 있으며 덜 정교한 해커가 액세스할 수 있습니다.
공격자가 랜섬웨어 프로젝트를 손에 넣으면 배포 방법만 결정하면 됩니다.
다른 형태의 맬웨어와 마찬가지로 일반적인 감염 벡터는 사회 공학 피해자가 웹사이트나 피싱 이메일 을 통해 감염된 파일을 다운로드하도록 합니다.
종종 MS Office 첨부 파일 이나 악성 PDF 파일 이 사용되어 열리면 숨겨진 코드를 실행하여 악성 코드 페이로드를 다운로드합니다.
다른 경우 랜섬웨어는 악의적으로 제작된 웹사이트의 스크립트에 의해 전달되거나 가짜 소프트웨어 설치 프로그램 에 의해 다운로드된 페이로드일 수 있습니다.
피해자가 악성 파일을 열고 권한을 부여한 후에는 다른 모든 것이 보이지 않게 뒤에서 발생한다는 점에 유의하는 것이 중요합니다.
의심하지 않는 피해자는 악성코드가 암호화를 트리거하고 그 존재를 알리도록 코딩된 시기에 따라 몇 분, 몇 시간 또는 며칠 동안 자신이 감염된 사실을 알지 못할 수 있습니다.
처음으로 기록된 랜섬웨어 사례에서 프로그램은 피해자의 컴퓨터가 90번 부팅될 때까지 활성화되지 않았습니다.
감염과 암호화 사이에 지연을 만드는 것은 공격자의 흔적을 덮고 보안 연구원이 감염 벡터를 찾기 어렵게 만들기 위한 것입니다.
범죄자들은 일반적으로 장기간 동안 거기에 있으며 더 큰 수익을 보장하는 데 도움이된다면 월급날을 기다리는 것을 신경 쓰지 않습니다.
그러나 모든 랜섬웨어에 사용자 상호 작용이 필요한 것은 아닙니다. 2016년에 유행 한 SamSam 랜섬웨어는 초기 장치에 발판을 마련한 후 연결된 장치의 취약한 암호를 표적으로 삼았습니다.
널리 사용되는 Oracle WebLogic Server 의 제로데이 취약점 으로 인해 공격자는 랜섬웨어를 컴퓨터에 직접 보내고 사용자 상호 작용 없이 스스로 실행할 수 있습니다.
RaaS(Ransomware-as-a-Service)란 무엇입니까?
Ransomware-as-a-service는 랜섬웨어 개발자가 완전히 구운 랜섬웨어 변종을 비기술적 구매자에게도 고정 요금 또는 수익의 일부로 판매하여, 중요한 기술이나 기술 없이도 랜섬웨어 공격을 시작할 수 있도록 하는 비즈니스 모델입니다.
자원 요구 사항. 이러한 거래는 종종 다크 웹에서 마케팅되고 실행됩니다.
랜섬웨어 개발자는 목표물을 찾고 감염시키는 위험이나 기술에 직접적으로 관심을 가질 필요가 없기 때문에 RaaS 모델의 이점을 얻습니다.
이러한 노동과 기술의 분업은 다양한 기술과 전문 지식을 가진 범죄자들이 그들의 노력을 결합하여 공격과 RaaS 키트를 보다 효율적이고 수익성 있게 만들 수 있음을 의미합니다.
RaaS는 새로운 제공 모델은 아니지만 최근 랜섬웨어 공격의 전반적인 보급 및 “성공”, 가능한 수익에 비해 적은 초기 비용, RaaS에서 랜섬웨어 개발자의 가용성 및 품질 확대를 고려할 때 꾸준히 인기를 얻었습니다.
뉴스 속 랜섬웨어 : 최근 사례
랜섬웨어와 전 세계 조직, 산업 및 경제에 미치는 영향에 대한 최근 사례 연구가 부족하지 않습니다.
다행스럽게도 위협 행위자 그룹이 동기와 기술이 발전함에 따라 이를 극복하는 방법에 대한 지식과 이해도 발전합니다.
최근 랜섬웨어 공격의 특히 관련성 있고 교육적인 예는 다음과 같습니다.
Conti 랜섬웨어의 부상으로 FBI 플래시 보고서 유발
2021년 5월, FBI는 주목할만한 Flash 보고서를 발행하여 조직에 Conti 랜섬웨어의 위협이 증가하고 있음을 경고했습니다. 2021년 7월까지 Conti는 2021년 초부터 다른 어떤 랜섬웨어 그룹보다 더 많은 조직 데이터(GB 단위)를 유출했습니다.
REvil 랜섬웨어의 급증 및 Kaseya 공급망 공격
2021년 7월 까지 발생한 최대 규모의 랜섬웨어 사건이 발생했습니다.
2021년 5월에는 DarkSide가 며칠 동안 미국의 중요한 인프라 시스템을 폐쇄하고, 연료 가격에 실질적인 다운스트림 영향을 주면서 현재까지 가장 파괴적이고 냉정한 랜섬웨어 공격 중 하나가 발생했습니다.
랜섬웨어 가 유포되는 7가지 일반적인 방법
랜섬웨어가 장치를 감염시키고 네트워크를 통해 확산되는 방식을 이해하는 것은 조직이 다음 공격의 희생자가 되지 않도록 하는 데 매우 중요합니다. 다음은 랜섬웨어가 유포되는 7가지 일반적인 방법입니다.
- 피싱 및 소셜 엔지니어링을 통한 침해
- 손상된 웹사이트를 통한 감염
- 악성 광고 및 브라우저 침해
- 맞춤형 악성코드를 전달하는 익스플로잇 킷
- 감염된 파일 및 애플리케이션 다운로드
- 감염 매개체로서의 메시징 애플리케이션
- RDP를 통한 무차별 대입
랜섬웨어로부터 어떻게 보호받을 수 있습니까?
엔드포인트 보호, 탐지 및 대응을 포함하여 보호 상태를 유지하기 위해 포괄적인 접근 방식이 필요합니다. 랜섬웨어 보증은 비즈니스를 보호하기 위한 강력한 전략의 중요한 부분입니다.
일반적인 랜섬웨어 공격 벡터의 보호
랜섬웨어가 어떻게 감염되고 확산되는지 이해하면 다운스트림 영향과 손실을 피하는 데 도움이 될 수 있습니다.
초기 감염 후 랜섬웨어는 다른 시스템으로 확산되거나 조직 네트워크의 NAS(Network-Attached Storage) 파일러를 암호화할 수 있습니다. 어떤 경우에는 조직 경계를 넘어 확산되어 공급망, 고객 및 기타 조직을 감염시킬 수 있습니다.
랜섬웨어가 사용자 환경에서 확산되기 전에 랜섬 웨어 공격에서 일반적으로 이용되는 다음 벡터를 감사하고 강화하는 것이 좋습니다.
- 피싱 이메일
- 손상된 웹사이트
- 악성 광고
- 익스플로잇 키트
- 다운로드
- 메시징 애플리케이션
- RDP를 통한 무차별 대입
이러한 많은 시나리오에서 직원의 내부 보안 교육과 보안 모범 사례 준수는 1차 방어선을 강화하고 공격 표면을 줄이는 데 큰 도움이 될 수 있습니다.
이는 자산 및 시스템의 부지런한 업그레이드, 패치 및 유지 관리와 향상된 이메일 보안 조치의 채택으로 확장됩니다.
랜섬웨어 는 어떻게 제거합니까?
랜섬웨어 대응 및 정리의 중요한 부분은 시계를 되돌리고 모든 자산과 구성을 공격 전의 원래 상태로 복원하는 기능입니다.
이 중요한 단계는 신속한 복구를 가능하게 하고 공격의 여파의 규모나 깊이에 관계없이 비즈니스가 정상적이고 지속적인 운영으로 돌아갈 수 있도록 도와줍니다.
이전에 알려지지 않은 랜섬웨어 또는 새로운 공격 전술은 탐지 엔진에 의해 자동으로 포착 및 차단되지 않을 수 있으므로 해당 작업을 취소하는 것이 유일한 보호 수단입니다.
랜섬웨어의 위험은 암호화되거나 삭제되는 파일에만 국한되지 않으며 악의적인 행위자가 후속 공격에서 이용할 수 있는 액세스 권한 및 보안 구성을 변경할 수도 있습니다.
악의적이거나 의심스러운 코드에 의해 실행된 모든 변경 사항을 자동으로 되돌리는 기능은 아무리 작더라도 관리자에게 안전망을 제공하여 랜섬웨어의 잠재적인 연쇄 효과로부터 귀하와 전체 도메인을 보호합니다.
보안 솔루션은 이전의 정상적인 상태로 암호화된 영향을 받는 모든 파일을 롤백할 수 있어야 하며, 외부 백업 솔루션이나 완전히 재이미징 시스템에서 복원하는 지루함을 덜어줄 수 있어야 합니다.
마지막으로, 랜섬웨어로부터 적절한 정리 및 복구를 확인하고 돌이켜지지 않은 상태로 두는 것이 현명합니다.
정리 프로세스를 수행 및 안내하고 결과를 자세히 보고하기 위해 사고 대응 담당자를 참여시키거나 조직에 대한 포괄적인, 손상 평가(전신 스캔으로 생각할 수 있음)를 주문하여 정확하게 캡처하고 문서화할 수 있습니다.
잠재적인 랜섬웨어 사고 이후의 보안 태세 입니다.
