감염 및 유통 벡터
Ransomware는 중요한 컴퓨터 파일이나 민감한 데이터를 암호화하여 몸값을 얻는 데 사용되는 멀웨어의 일종입니다. 랜섬웨어 멀웨어가 다운로드되어 조직의 네트워크 전반에 걸쳐 디바이스에 설치될 때 감염이 발생합니다.
Ransomware는 여러 가지 방법으로 대상 시스템에 액세스할 수 있습니다. 2023년 기술 발전이 급증했습니다. 인공지능 및 서비스형 랜섬웨어 플랫폼은 해커의 랜섬웨어 공격 실행 능력을 간소화했습니다. 소셜 엔지니어링, 국가 후원 및 내부자 공격이 증가하고 있지만, 시스템 위생 및 피싱 이메일이 여전히 가장 일반적인 공격 경로입니다.
피싱 이메일에는 일반적으로 침해된 웹사이트로의 링크 또는 멀웨어가 포함된 첨부 파일이 포함됩니다. 사용자가 링크 또는 첨부 파일을 클릭하면, 컴퓨터 시스템에서 멀웨어가 다운로드되고 실행됩니다.
랜섬웨어에 대한 일반적인 취약점을 생성하는 5가지 영역에 대해 알아보세요.
RDP(원격 데스크톱 프로토콜)는 사용하기 쉽고 공격자가 합법적인 크리덴셜에 액세스할 수 있는 경우 높은 수준의 액세스를 제공할 수 있기 때문에 일반적인 랜섬웨어 공격 벡터입니다. 공격자는 무차별 공격, 크리덴셜 스터핑 또는 다크 웹에서 구매하는 등 다양한 기법을 사용할 수 있습니다.
다크 웹에서 구매한 손상된 RDP 액세스는 기본 포트를 스캔하는 스크립트를 생성하여 RDP 연결을 활용할 수 있습니다. 해커는 보안 전문가와 동일한 툴에 액세스할 수 있으며, 1분 이내에 전체 인터넷에서 오픈 포트를 스캔할 수 있습니다.
해커 헥터 몬세구르는 이 온디맨드 웨비나에서 퓨어스토리지의 Andrew Miller와 함께 현재의 사이버 보안 환경과 당면 과제에 대해 이야기합니다.
암호화
랜섬웨어가 대상 시스템에 설치되면, 대기 상태에 놓이게 되며, 데이터를 조용히 수집하고 가능한 한 많은 시스템을 감염시킵니다. 그 다음, 회사의 가장 가치 있고 민감한 데이터로 시스템 파일을 훔치거나 암호화합니다. Ransomware는 종종 공격의 일부로 백업을 파괴하거나 데이터를 훔칠 수 있으므로 백업이 안전하고 변경 불가능한 것이 중요합니다.
이제 랜섬웨어의 몇 가지 유형과 변종을 자세히 살펴보겠습니다.
Crypto 랜섬웨어는 파일을 암호화하여 콘텐츠를 스크램핑하고 읽을 수 없게 만듭니다. 복호화 키는 파일을 읽기 가능한 형식으로 복원하는 데 필요합니다. 그런 다음 사이버 범죄자들은 몸값을 요구하고, 요구가 충족되면 데이터를 해독하거나 해독 키를 해제할 것을 약속합니다.
로커 랜섬웨어는 파일을 암호화하지 않고 피해자를 시스템이나 디바이스에서 완전히 차단합니다. 사이버 범죄자들은 디바이스 잠금을 해제하기 위해 몸값을 요구합니다. 일반적으로, 백업이 잘 가능한 경우, 시도된 암호화 공격으로부터 복구하거나 이를 피할 수 있습니다. 그러나 로커 랜섬웨어 공격은 복구하기가 더 어렵고 비용이 많이 듭니다. 백업된 데이터라 하더라도, 디바이스를 완전히 교체해야 합니다.
랜섬웨어 공격의 기본 목표는 돈을 갈취하는 것이지만, 특히 백업 및 복구 시스템이 잘 갖춰진 조직들은 비용을 거부할 수 있습니다. 이러한 이유로 공격자들은 데이터를 암호화하고 추출하는 이중 갈취를 사용합니다. 회사가 지불을 거부하는 경우, 해커들은 온라인에서 정보를 유출하거나 최고 입찰자에게 판매하겠다고 위협합니다.
그리고 더 악화됩니다. 랜섬웨어가 이중 갈취되는 소리처럼 파괴적인 보안 전문가들은 더 큰 위협, 즉 3중 갈취되는 랜섬웨어를 경고합니다. 공격자들은 데이터를 추출하고 초기 표적으로부터 수익을 요구하는 것 외에도 영향을 받는 제3자에게 돈을 요구합니다.
마지막으로, 서비스형 랜섬웨어(RaaS)는 표준 서비스형 소프트웨어(SaaS) 모델을 사용합니다. 구독 기반 서비스로, 구독자들은 사전 개발된 랜섬웨어 툴에 액세스하여 랜섬웨어 공격을 시작할 수 있습니다. 구독자는 계열사라고 하며 각 몸값 지불의 일정 비율을 받습니다.
랜섬 노트 및 요구 사항
랜섬웨어가 대상 네트워크에 성공적으로 배포되면, 랜섬웨어 수요가 발생합니다. 해커는 피해자에게 공격이 발생했다는 사실을 알리고 공격을 복구하는 데 필요한 몸값을 자세히 설명합니다. 랜섬 요구는 컴퓨터 화면에 표시되거나 암호화된 파일이 있는 디렉터리의 메모에 남습니다.
랜섬 요청에는 일반적으로 랜섬 금액, 필수 결제 방법 및 결제 기한에 대한 세부 정보와 랜섬이 결제된 후 암호화된 파일에 대한 액세스를 반환하겠다는 약속이 포함됩니다. 데이터 유출이 발생한 경우, 해커는 추가 데이터를 노출하지 않고 데이터가 파괴되었다는 증거를 보여주는 데 동의할 수도 있습니다. 결제는 일반적으로 암호화폐(예: 비트코인 또는 모네로)로 요청됩니다.
그러나, 몸값을 지불하더라도, 공격자가 데이터를 복구하거나 약속을 지킬 것이라는 보장은 없습니다. 도난당한 데이터의 사본을 나중에 사용할 수 있도록 보관할 수 있습니다. 복호화 키가 완전히 작동하지 않아 일부 데이터가 암호화되거나 공격자가 향후 사용할 수 있는 탐지되지 않은 추가 악성코드가 포함될 수 있습니다.
협상: 결제하시겠습니까?
몸값을 지불하거나 지불하지 않기로 결정하는 것은 복잡할 수 있으며, 다음과 같은 몇 가지 요인에 따라 달라집니다.
- 침해가 비즈니스 운영에 미치는 영향은 어느 정도입니까?
- 직원들이 결근하게 되나요? 몇 개, 얼마나 오래요?
- 데이터 노출의 위험은 얼마나 큽니까?
대가를 지불하거나 지불하지 않을 때의 장단점을 자세히 살펴보려면 “Hit by Ransomware ? 다음에 해야 할 일 .”
백업 및 복구 시스템이 랜섬웨어의 영향을 받지 않은 경우, (여러분에게 영향을 미치는 랜섬웨어의 유형에 따라) 전체 비용을 지불하지 않아도 될 수 있습니다. 그러나 몸값을 지불하는 것이 진정으로 유일한 선택이라면, 협상을 지원하고 지불을 용이하게 하기 위해 숙련된 사고 대응 팀을 고용하는 것이 좋습니다.
여파: 복구 및 복구
랜섬웨어 공격 후 평균 다운타임은 24일입니다. 몸값을 지불하면 암호 해독 키를 받고 암호화를 되돌리는 데 며칠이 더 걸릴 수 있습니다.
일부 랜섬웨어 변종은 침해된 네트워크에서 백업을 식별하고 파괴합니다. 백업이 파괴되거나 암호화되면 복구 프로세스가 더 복잡해질 수 있습니다. 그러나 백업을 사용할 수 있더라도, 백업 및 복구 시스템 유형에 따라 복구가 오래 걸릴 수 있습니다.
몸값을 지불하든, 직접 데이터를 복구하려고 하든, 전체 복구 프로세스에 며칠이 걸릴 수 있도록 계획하세요. 또한 랜섬 지불, 사고 대응 비용, 다운타임으로 인한 수익 손실 등 어느 정도의 재정적 손실을 계획하세요.
복구 프로세스가 복구 기능이 다른 두 가상 조직 간에 어떻게 다를 수 있는지 알아보세요. Ransomware 어떤 회사입니까?\"
공격에 대응할 준비를 하세요
랜섬웨어 공격은 대비할 수 없는 위험입니다. 보안을 유지하기 위해 모든 올바른 작업을 수행하고 있다고 생각할 수 있지만, 레거시 백업 아키텍처에 의존한다고 해서 현대적인 공격으로부터 보호되지는 않습니다.
공격에 대응하는 가장 좋은 방법은? 대규모 페타바이트 복구 성능을 제공하는 퓨어스토리지 ® SafeMode ™ 스냅샷 및 FlashBlade//S ™와 같은 최신 솔루션만이 보안 전략을 한 단계 업그레이드할 수 있습니다.
