FBI(연방수사국)와 USSS(미국 비밀 서비스)는 BlackByte 랜섬웨어에 대한 정보를 제공하기 위해 이 공동 사이버 보안 권고에 협력했습니다. BlackByte 랜섬웨어는 2021년 11월 현재 미국의 최소 3개 주요 인프라 부문(정부 시설, 금융, 식품 및 농업)을 포함하여 많은 미국 및 해외 기업을 감염시켰습니다.
BlackByte 랜섬웨어란 무엇입니까
BlackByte는 물리적 서버와 가상 서버를 포함하여 감염된 Windows 호스트 시스템의 파일을 암호화하는 RaaS(ransomware-as-a-service) 그룹입니다.
Blackbyte 랜섬웨어의 작동 방식은 무엇입니까?
BlackByte 랜섬웨어는 두 가지 방식으로 작동합니다. 직접 공격이고 다른 하나는 맬웨어 작성자에게 소프트웨어 도구를 사용하기 위해 비용을 지불한 다른 범죄자가 실행하는 서비스 버전의 랜섬웨어입니다. 그리고 많은 맬웨어 제품과 마찬가지로 컴퓨터의 부트 섹터를 감염시키는 능력을 이용합니다. 즉, PC를 껐다가 다시 시작해야 합니다.
BlackByte는 Microsoft Exchange 서버를 대상으로 조직에 침투할 수 있습니다. 모든 비즈니스는 이메일 네트워크의 손실로 인해 심각한 피해를 입을 수 있지만 Exchange는 많은 회사에서 여전히 이전 버전을 사용하고 있기 때문에 특히 취약합니다. Exchange 업그레이드는 간단하거나 빠른 절차가 아니기 때문에 많은 IT 관리자가 여전히 2013 및 2016 버전을 사용하고 있습니다.
BlackByte 랜섬웨어는 파일을 암호화하고 데이터 복구 및 기타 정보를 위해 공격자에게 연락하는 방법에 대한 지침이 포함된 몸값 메모("BlackByte restoremyfiles.hta" 파일)를 생성합니다. BlackByte에 의해 암호화된 파일의 이름에도 ".blackbyte" 확장자가 추가됩니다. 예를 들어 "1.jpg"는 "1.jpg.blackbyte"가 되고 "2.jpg"는 "2.jpg.blackbyte"가 되는 식입니다. 이 몸값 메모는 사이버 범죄자가 피해자에게 문서, 데이터베이스 및 기타 항목이 암호화되었음을 알리기 위해 생성한 것입니다.
피해자는 파일을 해독하기 위해 해독 도구를 획득해야 합니다. admin@wsxdn.com 이메일 주소를 통해 사이버 범죄자에게 연락하면 암호 해독 도구를 얻는 방법에 대한 지침이 제공됩니다. BlackByte 랜섬웨어 가해자가 파일을 해독할 수 있음을 보여주기 위해 두 개의 파일을 무료로 잠금 해제하겠다고 제안했습니다.
BlackByte 공격의 최근 사례
샌프란시스코 포티나이너스(San Francisco 49ers) 축구팀은 최근 금융 데이터를 받았다고 주장하는 BlackByte 운영자에게 공격을 받았습니다. 공동 경보에 따르면 여러 피해자는 공격자가 알려진 Microsoft Exchange Server 취약점을 악용하여 환경에 대한 초기 액세스 권한을 얻었다는 사실을 발견했습니다. 데이터를 수집하고 암호화하기 전에 랜섬웨어 운영자는 네트워크에서 측면으로 이동할 수 있는 도구를 사용하고 액세스를 확대하려고 했습니다.
PC는 어떻게 랜섬웨어에 감염됩니까?
악성코드를 퍼뜨리기 위해 사이버 범죄자들은 트로이 목마, 이메일, 파일이나 프로그램을 얻기 위한 의심스러운 소스, 소프트웨어 크래킹 도구, 가짜 소프트웨어 업데이터를 활용합니다. 트로이 목마가 컴퓨터에 설치되면 컴퓨터를 감염시킬 수 있습니다. 대부분의 트로이 목마는 합법적인 프로그램으로 가장합니다. 악성 Microsoft Office 문서, 실행 파일(예:EXE), JavaScript 파일, PDF 문서 및 기타 항목이 맬웨어 전달 이메일에 포함됩니다. 맬웨어 확산에 사용되는 이메일을 통해 다운로드한 파일을 열면 수신자가 시스템을 감염시킵니다.
사용자는 파일 및 프로그램 다운로드에 신뢰할 수 없는 소스를 사용하여 악성 파일을 다운로드하고 열도록 속입니다. 크래킹 소프트웨어는 라이선스가 부여된 소프트웨어를 무료로(불법적인 방식으로) 활성화할 수 있도록 설계되었습니다. 이러한 프로그램의 상당 부분은 맬웨어로 컴퓨터를 감염시키기 위한 것입니다. 가짜 소프트웨어 업데이터는 소프트웨어를 업그레이드하거나 수정하는 대신 버그를 악용하거나 오래된 소프트웨어의 구멍을 이용하거나 단순히 컴퓨터를 감염시켜 피해를 줍니다.
기업은 스스로를 보호하기 위해 무엇을 할 수 있습니까?
다음은 BlackByte Ransomware로부터 비즈니스를 보호하기 위해 채택할 수 있는 몇 가지 전략입니다.
- 취약한 버전의 Exchange를 사용하는 경우 가능한 한 빨리 다양한 Microsoft 수정 사항을 적용해야 합니다. 가능한 한 빨리 최신 Exchange 버전으로 업그레이드하거나 Office365 또는 Google Workspace로 마이그레이션하는 전략을 세우는 것이 좋습니다.
- 백업이 최신 상태이고 서버를 복원하는 데 사용할 수 있는지 확인하세요.
- 이메일을 통한 위협의 위험을 줄이기 위해 Exchange 서버를 별도의 네트워크 세그먼트에 격리했습니다. 이것이 많은 조직이 과거에 해왔던 일이며 BlackByte가 전체 네트워크 아키텍처를 파괴하지 않은 이유입니다.
- 영향을 받는 경우 이전 BlackByte 공격에 대해 생성된 암호 해독 키를 사용하여 데이터를 해독해야 합니다. 이것은 현명한 단계이지만 공격자가 최신 버전의 맬웨어를 사용하는 경우 이 키가 작동한다는 보장은 없습니다.
- 가장 중요한 것은 랜섬웨어가 감지된 컴퓨터/기기를 격리하는 것입니다.
- 공식 웹사이트를 사용하여 앱 및 업데이트를 다운로드합니다.
- 실시간 바이러스 백신을 사용하여 PC를 안전하게 보호하세요.
보너스:맬웨어와의 전쟁을 위한 Systweak 안티바이러스
Systweak Antivirus는 모든 형태의 악성 위협으로부터 실시간으로 컴퓨터를 보호합니다. 여기에는 원치 않는 광고를 필터링하고 맬웨어 및 기타 유형의 악성 소프트웨어가 다운로드되거나 액세스되는 것을 방지하여 컴퓨터를 보호하는 StopAllAds 브라우저 플러그인도 포함되어 있습니다. Systweak Antivirus는 1년 365일 24시간 악용으로부터 컴퓨터를 보호합니다. 모든 보안 요구 사항에 대한 원스톱 상점 역할을 하여 컴퓨터의 현재 성능을 향상시킵니다.
실시간 보안. Systweak Antivirus는 컴퓨터에서 동작하는 방식에 따라 잠재적인 위협/앱을 탐지할 수 있는 몇 안 되는 바이러스 백신 중 하나입니다.
사용이 매우 간단합니다. . 이 프로그램에는 사용이 간편하고 가족 모두가 사용할 수 있는 사용자 인터페이스가 있습니다.
실시간 보안 컴퓨터에서 동작하는 방식에 따라 잠재적인 위협/앱을 탐지할 수 있는 몇 안 되는 바이러스 백신 시스템 중 하나는 Systweak Antivirus입니다.
가벼움 시스템 리소스를 가장 적게 사용하는 소프트웨어는 CPU 리소스를 낭비하지 않기 때문에 가장 좋은 것으로 간주됩니다.
안전하고 안전합니다. 이 응용 프로그램을 사용하면 인터넷을 탐색할 수 있고 광고 차단기가 광고를 볼 수 없도록 방지합니다.
시작 메뉴 구성 . 사용자는 컴퓨터 시작 시간을 늦추는 구성 요소를 끌 수 있습니다.
BlackByte 랜섬웨어란 무엇이며 어떻게 보호해야 하는지에 대한 최종 결론
위에서 언급한 예방 조치 및 보호 조치는 PC를 어느 정도 안전하게 유지하고 PC가 랜섬웨어에 감염될 가능성을 크게 줄이는 데 도움이 됩니다. PC 위생을 유지하고 컴퓨터를 최신 상태로 유지하면 안전하고 보안을 유지할 수 있습니다. Systweak Antivirus는 맬웨어 및 잠재적인 위협 활동을 실시간으로 탐지할 수 있으므로 모든 사용자에게 추가 이점처럼 작용합니다.
Facebook, Instagram, YouTube와 같은 소셜 미디어에서 우리를 팔로우하세요. 질문이나 제안 사항이 있으면 아래의 의견 섹션에 알려주십시오. 해결 방법을 알려 드리겠습니다. 기술과 관련된 일반적인 문제에 대한 답변과 함께 팁과 요령을 정기적으로 게시합니다.