랜섬웨어는 2017년부터 2018년까지 계속해서 사이버스페이스의 환경을 지배하고 있습니다. 기업의 규모가 크든 작든 이러한 공격은 사용자가 자신의 하이재킹된 암호화된 파일을 잠금 해제하기 위해 수백만 달러를 지불하도록 만들었습니다. 비트코인과 같은 가상 화폐의 폭발은 추적 가능성에 대한 단서를 남기지 않으며 디지털 갈취를 통해 수익성 피라미드를 성장시켰고 랜섬웨어를 개인 및 비즈니스 기업에 실질적인 위협으로 만들었습니다. 보고서에 따르면 개인은 10초마다 공격을 받고 기업은 40초마다 공격을 받습니다. 최근에는 기술 지식이 낮은 사람들도 온라인에 공포를 퍼뜨리기 위해 모방 랜섬웨어 변종을 만들려고 노력하고 있습니다.
이 위협이 진정될 것 같지 않으므로 지금까지 등장한 몇 가지 매우 파괴적인 랜섬웨어 공격을 살펴보겠습니다.
최대 랜섬웨어 공격
-
간드크랩
그것은 2018년의 가장 저명한 랜섬웨어이며 지금까지 엄청난 수로 퍼졌습니다. 사용자가 자신의 데이터에 액세스하도록 제한하는 전통적인 방법과는 별도로 GandCrab은 이를 수행하는 새로운 기술을 고안했습니다. 맬웨어가 시스템에 처리된 후 확장자가 .GDCB인 모든 파일을 암호화합니다(예:beach.jpg는 암호화되고 이름이 beach.jpg.GDCB로 변경됨). 암호화 프로세스 직후 GandCrab은 해독 파일 GDCB를 생성합니다. DECRYPT.txt, 현재 시나리오에 대한 정보와 다음 단계(예:암호 해독)에 대한 지침이 포함되어 있습니다. 데이터를 복호화하기 위해 피해자는 TOR 브라우저 웹페이지를 방문하여 약 $300-$500에 해당하는 약 1.5 Dash(암호화폐)의 몸값을 지불하여 GandCrab 개발자가 처리하는 원격 서버에 저장된 복호화 키를 획득해야 합니다. 결제가 완료되면 복호화 키가 해제됩니다.
-
워너크라이
WannaCry는 아마도 현재까지 가장 유명한 Ransomware 공격일 것입니다. 그 이유는 150개국에 광범위하게 영향을 미치고 영국의 National Health Service를 포함한 세간의 이목을 끄는 표적이 있기 때문입니다. WannaCry 악성코드는 파일을 암호화/복호화하는 애플리케이션, 암호화 키로 구성된 파일 및 IP 주소를 추적할 수 없도록 하는 토르 브라우저 사본과 같은 여러 구성 요소로 구성된 '드로퍼' 형태로 시스템에 침입합니다. 해커는 제한된 시간 내에 수백 개의 비트코인에 대한 몸값을 요구하여 데이터 손실에 대해 위협함으로써 긴박감을 조성합니다. 이 RansomWare의 초기 확산은 일반적으로 폐쇄된 네트워크에 연결된 컴퓨터 간에 파일을 공유하는 데 사용되는 Microsoft의 SMB(Server Message Block)에서 발생했지만 한 컴퓨터가 공용 네트워크에 연결된 경우 악용될 수 있습니다. 따라서 SMB의 노드에 연결된 모든 시스템이 이 공격에 취약해졌습니다.
참고 항목: SpriteCoin 조심:랜섬웨어입니다!
-
골든아이
NotPetya라고도 알려진 GoldenEye 랜섬웨어 공격은 FedEx, Merck, Cadbury, AP Moller-Maersk와 같은 수십억 달러 규모의 회사 시스템에 걸쳐 발생했습니다. 이들 회사의 순자산을 합하면 1,300억 달러입니다. 해커는 납치된 모든 컴퓨터에 대해 300달러 이상을 요구했을 것입니다. 하지만 이 해커의 주요 목표는 데이터를 파괴하는 것이었습니다. GoldenEye는 컴퓨터의 중요한 파일을 암호화하고 중요한 자격 증명을 훔치며 하드 드라이브도 압수하는 Petya 제품군에 속합니다. GoldenEye와 비교할 때 WannaCry는 상당히 기본적이었습니다. GoldenEye는 데이터를 압수할 뿐만 아니라 컴퓨터를 강제로 재부팅하고 동시에 모든 로그를 삭제하여 이러한 해커를 추적할 수 없도록 합니다. 이 Ransomware 뒤에 있는 맬웨어의 침입은 E-Mail 또는 로드된 Word 문서로 사용자를 속여 네트워크의 누군가에 의해 수행될 수 있습니다. 마침내 이 악성코드는 현재까지 가장 똑똑한 악성코드입니다.
-
암호화폐 보관함
Cryptolocker는 랜섬웨어의 전통적인 모델에서 작동합니다. 트로이 목마가 시스템에 침입하여 결국 시스템의 모든 중요한 파일을 암호화하고 해커는 파일 복원에 필요한 암호 해독 키를 제공하기 위해 300달러를 요구했습니다. 실제 프로세스는 사용자가 이메일 첨부 파일로 정품으로 보이는 암호로 보호된 ZIP 파일을 실행하도록 속이는 사회 공학 기술을 선택했습니다. 사용자가 이 파일을 열면 트로이 목마가 자동으로 백그라운드에서 실행되어 암호화된 각 파일에 대해 개별적으로 대칭 키를 생성합니다. 암호화 모드는 RSA 2048비트였습니다.
-
zCrypt
zCrypt는 바이러스처럼 행동하는 종류의 OS 랜섬웨어입니다. 이메일이나 다운로드를 통해 확산되는 다른 랜섬웨어 공격과 달리 USB 스틱을 통해 다른 컴퓨터로 확산되는 경로를 따릅니다. 대상에 도달한 직후 autorun.inf 파일을 생성합니다. 감염된 USB 스틱이 다른 시스템에 연결되었을 때 자동으로 실행되도록 합니다. 공격자는 모든 데이터를 암호화한 후 4일 이내에 결제를 요청합니다. 이 기간이 지나면 몸값이 증가하고 7일 이내에 지불하지 않으면 해커의 서버에 저장된 암호 해독 키가 파기됩니다. (2016년 1월 공격에 따르면).
zCrypt의 주요 단점은 사용자가 공격자가 훔친 데이터를 포기하더라도 여전히 시스템을 사용할 수 없다는 것입니다. zCrypt는 기존 데이터를 암호화한 후에도 멈추지 않기 때문에 파일이 변경되거나 새로운 파일 사용자가 생성되었는지 계속 모니터링하여 특정 파일도 암호화할 수 있습니다. 멀웨어가 완전히 제거된 후에야 무료로 사용할 수 있습니다.
위에서 언급한 모든 공격 외에도 Quant Loader로 알려진 위협 또는 트로이 목마가 포함된 악성 첨부 파일을 전달하는 가장 최근의 이메일 공격에 대해 이야기합니다. . 랜섬웨어 및 암호 도용 소프트웨어를 설치할 수 있습니다. 이 새로운 공격은 해커가 게이트웨이 보안 기능을 침입할 수 있도록 하는 Internet Explorer의 2년 된 취약점을 깨고 있습니다.
그러나 이번에는 공격자가 웹 브라우저 대신 Samba를 사용하여 파일이나 문서를 다운로드하는 다른 접근 방식을 취했습니다. 따라서 보안 기능을 완전히 우회합니다. 이 이메일은 청구서 및 .zip 파일이 포함된 첨부 파일이 포함된 빈 이메일로 감지되었습니다. 이러한 zip 파일에는 Quant Loader가 파일을 설치하도록 하는 Windows 스크립트 파일(.wsf)이 포함되어 있지만 Samba를 사용하여 설치하려면 https:// 주소 대신 file://를 사용합니다.
IT 관리자가 조직을 안전하게 유지하기 위해 할 수 있는 일은 무엇입니까?
다음은 랜섬웨어 공격의 위험을 최소화하기 위해 조직을 사전에 보호하기 위한 몇 가지 팁입니다.
- 2단계 인증 사용 – 피싱 캠페인은 여전히 요즘에도 매우 효과적입니다. 직원들이 피해를 제한하는 데 큰 도움이 될 것입니다. 자격 증명을 분실하거나 도난당한 경우에도 2단계 인증을 통해 어느 정도 피해를 막을 수 있습니다.
- 모든 민감한 데이터 암호화 – 모든 기업은 한 번이라도 데이터 유출 문제를 겪었습니다. 중요한 정보를 모두 암호화하면 도난당한 경우에 대비하여 데이터가 모두 암호화되어 있으면 해커가 해당 정보를 사용할 수 없게 됩니다.
- 물리적 보안도 관리 – 데이터는 오프라인에서도 도난당할 수 있습니다. 조직에 감시 카메라를 사용하는 것은 필수적입니다. 누구도 제한 구역에 들어갈 수 없으며 회사의 데이터를 도용하거나 변조할 수 없습니다.
- 가장 취약한 공격 소스 보호 – 이메일은 랜섬웨어 공격의 가장 취약한 소스입니다. 대부분의 경우 이러한 공격은 감염된 첨부 파일이 포함된 일반 이메일로 트리거됩니다. 사진, 동영상, 문서, YouTube 링크 또는 멀웨어가 포함된 기타 파일 등. 메일이 실제로 귀하의 것이거나 보낸 사람을 직접 아는 경우가 아니면 &때까지 열지 마십시오. 알 수 없는 메일을 받은 경우 회사 데이터 보안 고문에게 알리십시오. 그리고 그 메일을 즉시 삭제하십시오.
- 직원을 똑똑하게 만들기 – 귀하와 귀하의 조직을 위한 사이버 보안의 중요성에 대해 직원을 교육하십시오. 그리고 가장 중요한 것은 공격 징후를 보여주고 그에 따라 대응하는 방법을 가르치는 것입니다.
- 조심하세요 – 공격이 발생할 때까지 기다리지 말고 경계를 늦추지 말고 법 집행 기관에서 데이터 침해에 대해 알아보십시오. 로그 파일을 활용하고 공격이나 보안 문제의 초기 징후를 식별하십시오.
공격 전개?
로컬 백업 서버에 모든 데이터의 복제본을 저장하는 것과 같은 과거 솔루션을 따르는 것은 구식입니다. 대부분의 경우 조직에서 데이터베이스를 신속하게 복구하는 데 도움이 되지만 문제가 대규모 사이트 중단이 아닐 때까지. 반면, 현재 클라우드는 백업 서버와 메인 서버 간에 파일을 공유하려는 경우 매우 쉽게 하기 때문에 이 산업에 부정적인 영향을 미칩니다. 실제로 침투할 수 있는 인터넷 연결을 통해 파일을 공유하는 것에 대해 걱정할 필요가 없습니다. 하지만 시간이 지나면서 성숙해지는 랜섬웨어는 메인 서버뿐만 아니라 백업 서버까지 손상시키는 고유한 방식과 전술을 가지고 있습니다.
이 특정 문제에 대한 오늘날의 솔루션은 인공 지능 기반 기계 학습 을 채택하는 것입니다. 기술. ML의 도움으로 개발자는 과거 랜섬웨어 공격의 데이터베이스에서 훈련할 수 있습니다. 그런 다음 새로운 변종을 빠르게 이해하고 방어하기 위해 이전 공격과 연결하는 머신 러닝 프로세스에 모든 것을 맡깁니다.
지금까지 살펴본 랜섬웨어는 시간이 지남에 따라 증가하고 더 큰 영향을 미칠 공격입니다. 조직은 이메일 검색, 다운로드 필터링 및 시스템 업데이트와 같은 정기적인 조치를 처리하는 대신 이러한 해커에게 계속해서 금액을 지불할 것입니다.