랜섬웨어

랜섬웨어는 어떻게 작동하나요?

‍

랜섬웨어는 직장에 있는 개인 또는 직원의 시스템에 초기 감염을 일으키는 것으로 시작됩니다.랜섬웨어가 기기를 감염시키는 일반적인 두 가지 방법은 악성 이메일이나 URL을 통해서입니다.

악성 이메일 (자주 호출됨)피싱또는 악성 스팸 이메일에는 감염된 첨부 파일이 포함되어 있는 경우가 많습니다.첨부 파일은 사용자가 열도록 유도하기 위해 흥미롭거나 긴급한 이름으로 되어 있는데, 이는 주로 세금, 허위 청구서, 허위 포장물 추적 또는 시사 사건과 관련이 있습니다.

때로는 악성 URL이 이메일에 사용되어 사용자가 클릭하도록 유도하여 드라이브 바이 다운로드 또는 멀버타이징을 통해 웹 기반 공격을 퍼뜨리는 경우가 있습니다.

랜섬웨어의 초기 버전인 CryptoWall이 엔드포인트에 도달하면 어떻게 작동하는지 살펴보겠습니다.랩톱이 감염되면 CryptoWall은 시작 메뉴, 작업 표시줄, 바탕 화면 및 파일 관리자가 있는 Windows의 일부인 explorer.exe 파일을 손상시키고 다시 시작합니다.그런 다음 섀도우 복사본을 삭제하고, 멀웨어를 설치하고, 서비스를 비활성화하는 등의 작업을 수행합니다.지속성이 설정되므로 디바이스를 다시 시작해도 제거되지는 않습니다.

그런 다음 CryptoWall은 명령 및 제어 서버와 통신하여 파일을 잠그는 암호화 키를 가져옵니다.키를 사용하면 연결된 네트워크 드라이브에서 연결할 수 있는 모든 파일과 마찬가지로 로컬 시스템의 모든 파일이 암호화됩니다.랜섬웨어의 작동 방식 때문에 랜섬웨어에 다시 액세스할 수 있는 유일한 방법은 CryptoWall 뒤에 있는 그룹에 몸값을 지불하여 얻은 암호화 키를 사용하는 것입니다.

가해자는 누구인가요?

지능형 랜섬웨어 공격은 기존의 랜섬웨어 변형을 가져와 통과될 수 있을 정도로 변경한 작성자로부터 발생할 수 있습니다. 악성 코드 스캐너.하지만 랜섬웨어 공격자가 항상 코더는 아닙니다.일부 악의적인 공격자는 작성자로부터 멀웨어 소프트웨어를 구입하고 개발자에게 수익의 일정 비율을 지불합니다.이를 서비스형 랜섬웨어 (RaaS) 라고 합니다.익명 암호화폐의 시대에는 이러한 범죄자를 추적하기가 어렵습니다.

랜섬웨어가 확산되는 이유

보고된 랜섬웨어 사고 2021년에는 62% 증가했습니다 2020년과 비교하면 말이죠.랜섬웨어 공격은 여러 가지 이유로 빠르게 증가하고 있습니다.

RaaS 시대에는 공격자가 기술 코더가 될 필요가 없습니다.이로 인해 사이버 범죄자가 될 수 있는 도구를 가진 사람들의 수가 늘어납니다.랜섬웨어 변종을 만들 수 있는 오픈 소스 코드 및 드래그 앤 드롭 플랫폼도 많이 있습니다.

또한 더 많은 사용자가 재택 근무를 하고 있으며 회사 이외의 컴퓨터에서도 근무하고 있을 수 있습니다.이로 인해 피싱 이메일과 악성 다운로드가 발생할 가능성이 열립니다.

랜섬웨어 공격의 예

랜섬웨어를 사전에 방지하려면 조직에서 일반적인 랜섬웨어 공격의 전술과 특성을 이해하는 것이 중요합니다.

워너크라이

WannaCry는 자체적으로 확산되는 랜섬웨어입니다.이 공격은 NSA에서 개발한 EternalBlue 익스플로잇을 활용했습니다. EternalBlue 익스플로잇은 시스템을 손상시키고, 멀웨어를 로드하고, 다른 머신으로 전파하는 데 사용되었습니다.특히 Windows 컴퓨터 간 파일 공유와 같은 작업에 사용되는 Microsoft SMB (서버 메시지 블록) 의 취약점을 악용했습니다.그런 다음 EternalBlue는 DoublePulsar를 설치하여 감염된 시스템에서 악성 코드를 실행합니다.

Microsoft는 공격 당시 패치를 출시했습니다.그러나 공격 대상이 된 많은 조직은 수명이 다한 이후에도 이러한 구형 시스템에 대한 패치를 적용하지 않았습니다.

확산 능력을 감안할 때 전 세계적으로 20만 개 이상의 시스템을 감염시킨 것으로 추정됩니다.

Not Petya

전 세계가 여전히 WannaCry에 시달리고 있는 가운데, NotPetya는 2017년 6월 말에 모습을 드러냈고, 이는 지금까지 전 세계가 본 것 중 가장 파괴적인 공격이 되었습니다.

NotPetya는 언뜻 보기에는 랜섬웨어로 보였으나, 복구할 수 없는 암호화를 사용하여 파괴만을 목적으로 설계된 와이퍼 멀웨어로 밝혀졌습니다.공격은 MeDoc이라는 우크라이나 세무 회계 소프트웨어를 해킹하는 악의적인 행위자들에 의해 시작되었습니다.MeDoc은 주로 유럽에 있는 수십만 명의 고객을 보유하고 있었는데, 이들은 이 소프트웨어를 사용하여 우크라이나에서 비즈니스를 수행했습니다.다른 모든 소프트웨어와 마찬가지로 MeDoc은 자신도 모르게 문제가 있는 업데이트를 고객에게 제공했고, 고객은 이 공급업체 업데이트를 암묵적으로 신뢰했습니다.이는 소프트웨어 공급업체와 고객 간의 신뢰를 악용한 공급망 공격으로, 손상된 소프트웨어인 MeDoc을 시스템의 교두보로 활용했습니다.그 후 NotPetya라는 이름의 Petya 랜섬웨어가 업데이트되면서 공격이 시작되었습니다.

공격은 패치가 적용되지 않은 시스템에 대해 EternalBlue 및 EternalRomance를 사용하거나 암호 수집 기술을 통해 자격 증명을 도용하여 PSExec 및 WMI와 같은 도구를 사용하여 더 많은 시스템으로 확산되었습니다.현재 지정학적 사이버 무기로 간주되고 있는 NotPetya와 관련된 전 세계 총 피해액은 100억 달러에 달하는 것으로 추정됩니다.

더블 익스토션

레이디 가가는 새로운 랜섬웨어 공격 기법과 어떤 관련이 있을까요?

이중 강탈에서 그녀의 의심할 여지 없는 역할.

랜섬웨어 공격은 이제 일부 공격이 추가 갈취를 추가할 수 있기 때문에 더욱 심각해졌습니다.첫째, 공격자는 거점을 확보하고 민감한 데이터를 찾아 자체 서버로 유출합니다.민감한 데이터를 도난당한 공격자는 시스템 암호화를 진행합니다.시스템이 잠길 뿐만 아니라 피해자가 돈을 지불하지 않는 한 민감한 정보가 공개적으로 유출될 수 있습니다. 이로 인해 조직은 몸값을 지불해야 한다는 압박을 가중시킬 수 있습니다.

최근 공격자들은 엔터테인먼트 법률 회사를 표적으로 삼아 레이디 가가, 브루스 스프링스틴, 크리스티나 아길레라와 같은 유명 고객과 관련된 데이터를 훔쳤습니다.이들은 처음에 민감한 정보를 보유하고 있다는 증거로 레이디 가가와 관련된 계약을 공개했습니다.

공격의 배후 단체는 로펌이 약 4,200 만 달러에 달하는 몸값 지불을 거부하면 더 많은 유명인 데이터를 공개하겠다고 위협했습니다.

랜섬웨어가 비즈니스에 미치는 영향

랜섬웨어는 비즈니스 생산성에 막대한 영향을 미칩니다.공격자는 회사가 몸값을 빨리 지불하지 않으면 민감한 데이터를 공개하겠다고 위협하여 회사를 협박합니다.2016년 SamSam 랜섬웨어는 내장된 측면 이동 또는 자체 전파라는 무시무시한 새 기능을 공개하면서 세상에 불쾌한 놀라움을 안겨주었습니다.그 이유는 무엇일까요?공격자는 기업 네트워크 전체를 효과적으로 표적으로 삼아 방대한 양의 미션 크리티컬 데이터를 암호화하고, 그 결과 더 큰 몸값을 지불하도록 요구할 수 있습니다.SamSam의 경우 공격자들은 오래된 서버 취약점을 악용하여 침입했습니다.일단 안으로 들어간 SamSam은 이를 암호화하기 위해 네트워크로 연결된 추가 시스템을 찾아 옆으로 이동했습니다.

랜섬웨어는 어떻게 확산되고 있나요?

자체적으로 확산될 수 있는 랜섬웨어는 상당한 관심을 불러일으켰지만, 최근의 많은 랜섬웨어 공격은 보다 체계적이고 공격자가 통제하는 것으로 보입니다.

이러한 공격은 측면 이동이 내장된 랜섬웨어만큼 빠르게 진행되지는 않지만 환경을 감시하는 데 오랜 시간이 걸리기 때문에 그만큼 치명적입니다.미국 지방 자치 단체는 최근 몇 년간 공격의 물결을 보고했으며, 더 많은 공격은 전혀 보고되지 않았을 가능성이 높습니다.대부분의 경우 공격자는 랜섬웨어가 암호화되기 몇 주 전부터 환경을 공격합니다.

이러한 공격은 Windows 원격 액세스에 사용되는 원격 데스크톱 프로토콜 (RDP) 과 같이 잘못 구성된 서비스를 무차별 대입하거나 피싱을 통해 발판을 마련합니다.일단 침입하면 개방형 포트를 통해 P2P 측면 이동 (예: RDP 또는 WMI를 악용하여 도메인 컨트롤러에 도달하는 방식) 을 시도하는 체계적인 공격이 이루어집니다.

NotPetya에도 있는 자격 증명 수집은 측면 이동에도 사용됩니다.Mimikatz와 같은 도구는 이를 용이하게 하여 권한 에스컬레이션을 허용하므로 공격자가 네트워크에서 더 높은 수준의 권한을 가질 수 있습니다.

어느 쪽이든 공격자는 도메인 컨트롤러에 접근하여 공격 대상 회사의 IT 관리자가 되는 경우가 많습니다.

이 시점에서 이들은 다른 시스템에서 프로세스를 실행하는 데 사용되는 PSExec과 같은 기존 IT 관리 프레임워크를 사용하거나 작업, 운영 체제 관리 작업을 자동화하는 데 사용되는 PowerShell을 사용하여 악성 파일을 시스템에 드롭합니다.

랜섬웨어 공격을 방지하는 방법

어떻게 자신을 보호할 수 있을까요?많은 공격이 탐지를 거의 회피하기 위해 새로 생성된 멀웨어나 외부 지역을 이용한다는 점을 감안하면 어려운 일입니다.주요 랜섬웨어 공격의 위험을 줄일 수 있는 몇 가지 모범 사례가 있습니다.

US-CERT에 따르면 랜섬웨어 위험을 줄이는 몇 가지 주요 방법은 다음과 같습니다.

• 랩톱과 네트워크를 세분화하여 처음 감염된 랩톱이 마지막 랩톱이 되도록 하여 공격이 초기 시스템을 넘어서는 것을 방지하십시오.
• 취약한 애플리케이션과 OS가 공격 대상이 되지 않도록 모든 시스템을 정기적으로 패치하십시오.
• 효과적인 이메일 및 엔드포인트 보안 도구를 사용하여 피싱 이메일이 받은 편지함에 도달하지 못하거나 랜섬웨어와 관련된 악의적인 활동이 엔드포인트에 도달하고 파일을 암호화하는 것을 막으십시오.
• 사용자에게 이메일 첨부 파일을 주의 깊게 열고 알 수 없는 발신자가 보낸 이메일 첨부 파일을 조심하도록 교육하세요.
• 필요한 경우 네트워크에서 액세스할 수 없는 백업을 사용하여 이전 상태로 복원할 수 있도록 시스템을 자주 백업하고 백업을 별도로 저장하십시오.

랜섬웨어 공격에 대응

기기가 멀웨어에 감염된 것으로 의심되는 경우 추가 손상을 방지하기 위해 취해야 할 몇 가지 조치가 있습니다.먼저 감염된 디바이스를 네트워크 및 기타 디바이스에서 최대한 빨리 분리하십시오.이렇게 하면 한 장치에서 다른 장치로 랜섬웨어가 확산되는 것을 막을 수 있습니다.기업은 다음을 사용하여 맬웨어가 빠르게 확산되는 것을 방지할 수 있습니다.제로 트러스트 세그멘테이션, 를 포함하여 마이크로 세그멘테이션, 워크로드를 서로 분리합니다.

다음 단계는 당국에 연락하는 것입니다.기기를 랜섬웨어로 감염시키는 것은 불법입니다.또한 파일을 복구하는 데 도움이 되는 도구도 있을 수 있습니다.

파일을 다른 위치에 백업한 경우 파일을 다시 가져올 수 있습니다.이것이 정기적인 파일 백업이 중요한 여러 이유 중 하나입니다.백업이 없다면 온라인에서 검색해 랜섬웨어 암호 해독 키를 찾아보세요.안타깝게도 올바른 키를 찾을 수 없다면 파일이 사라졌다는 사실을 받아들여야 할 수도 있습니다.

몸값을 지불해야 하나요?

파일을 돌려받기 위해 몸값을 지불하지 마세요.그들이 실제로 암호 해독 키를 줄 것이라는 보장은 없으며 범죄 활동에 자금을 지원하게 될 것입니다.돈을 지불하면 반복되는 표적이 될 수도 있습니다.범죄자들은 당신에게서 돈을 받을 수 있다는 것을 알게 되었으니, 앞으로도 계속해서 당신의 기기를 감염시킬 것입니다.

피싱 이메일과 악성 URL에서 잠재적인 멀웨어를 식별할 수 있으면 파일이 파괴되는 것을 방지할 수 있습니다.이 문서를 읽고 나면 다음에 누군가가 “랜섬웨어란 무엇인가?” 라고 물으면 대답할 수 있습니다.또한 공격을 방지할 준비가 되어 있고 디바이스가 감염되었을 때 취해야 할 조치를 알 수 있습니다.

자세히 알아보기

제로 트러스트 세그멘테이션 방법 알아보기 랜섬웨어 포함 그리고 확산을 막습니다. 워크로드 및 디바이스 보호.