어떻게 작동합니까?
좋은 데이터 백업은 기존의 랜섬웨어를 물리칠 수 있습니다. 조직에 데이터의 다른 복사본이 있는 경우 복원을 위해 암호 해독 키에 대한 비용을 지불할 필요가 없습니다.
이중 갈취 랜섬웨어는 데이터 탈취와 데이터 암호화를 결합하여 이 문제를 극복합니다. 랜섬웨어 운영자는 데이터를 훔치고 몸값을 지불하지 않으면 데이터를 유출하겠다고 협박함으로써 조직에 백업이 있고 지불하지 않고도 복구할 수 있는 경우에도 성공적으로 몸값을 갈취할 수 있습니다.
이중 갈취 랜섬웨어의 공격 순서
이중 강탈 랜섬웨어는 랜섬웨어 감염의 공격 체인에 추가 단계를 추가하며, 다음 단계를 포함할 가능성이 높습니다:
- 초기 액세스: 멀웨어는 사용자 워크스테이션을 통해 기업 네트워크에 대한 초기 액세스 권한을 얻습니다.
- 측면 이동: 멀웨어가 기업 네트워크를 통해 데이터베이스 서버와 같은 더 높은 가치의 표적으로 이동합니다.
- 데이터 유출: 랜섬웨어는 눈에 잘 띄는 암호화 작업을 수행하기 전에 민감한 정보를 공격자에게 유출합니다.
- 데이터 암호화: 이 멀웨어는 감염된 시스템의 파일을 암호화합니다.
- 몸값 요구: 랜섬웨어는 파일을 해독하거나 도난당한 데이터를 삭제하기 위해 몸값을 요구합니다.
잠재적 위험 및 영향
랜섬웨어 감염에 성공하면 조직에 막대한 피해를 줄 수 있습니다. 가장 일반적인 영향은 다음과 같습니다:
- 재정적 손실: 이중 갈취 랜섬웨어는 비즈니스에 다양한 잠재적 비용을 초래합니다. 기업은 인시던트를 해결하는 데 드는 비용 외에도 공격이 진행되는 동안 매출 손실이 발생할 수 있으며 법적 및 규제상의 벌금을 지불해야 할 수도 있습니다.
- 평판 손상: 랜섬웨어 공격이 성공하면 조직의 평판과 브랜드에 해를 끼칠 수 있습니다. 고객 데이터를 보호하지 못하고 공격으로 인해 서비스가 중단될 경우 고객 이탈이 발생하거나 회사가 영향을 받은 고객에게 배상금을 지급해야 할 수도 있습니다.
- 데이터 손실: 일부 형태의 이중 갈취 랜섬웨어는 데이터를 암호화할 뿐만 아니라 데이터를 훔칩니다. 조직이 몸값을 지불하거나 백업이 있더라도 모든 데이터를 복구할 수 있는 것은 아닙니다.
- 규제 처벌: 민감한 데이터를 훔치는 랜섬웨어 그룹은 보고 대상 데이터 침해에 해당합니다. 그 결과 조직은 규제에 따른 벌금을 납부해야 할 수도 있습니다.
이중 갈취 랜섬웨어의 사례
많은 랜섬웨어 그룹이 이중 갈취 방법론을 채택하고 있습니다. 가장 잘 알려진 것 중 일부는 다음과 같습니다:
- Maze: 2020년에 등장한 Maze 랜섬웨어 그룹은 이중 갈취 랜섬웨어 공격의 선구자였습니다.
- REvil: REvil은 2019년에 처음 발견된 서비스형 랜섬웨어(RaaS) 그룹입니다.
- 다크사이드: 다크사이드: 다크사이드는 2020년에 등장한 RaaS 그룹으로 콜로니얼 파이프라인 해킹으로 유명합니다.
- 블랙매터: 블랙매터: 블랙매터는 2021년에 등장했으며, 더 이상 운영되지 않는 레블과 다크사이드 그룹의 뒤를 잇는다고 주장합니다.
- LockBit: 2019년에 등장한 LockBit은 자체 확산 멀웨어를 공격에 사용하는 서비스형 소프트웨어(RaaS)입니다.
이중 갈취 랜섬웨어 공격을 방지하는 방법
랜섬웨어 공격으로부터 조직을 보호하기 위한 몇 가지 사이버 보안 모범 사례는 다음과 같습니다:
- 사이버 보안 인식 교육: 많은 랜섬웨어 변종은 피싱과 같은 사회 공학적 공격을 사용하여 조직의 네트워크에 액세스합니다. 직원들이 이러한 위협을 식별하고 적절하게 대응하도록 교육하면 사고의 위험을 줄일 수 있습니다.
- 데이터 백업: 이중 갈취 랜섬웨어는 데이터 도난을 포함하지만, 중요한 데이터를 암호화할 수도 있습니다. 데이터 백업을 통해 조직은 데이터를 암호화할 필요 없이 데이터를 복원할 수 있습니다.
- 패치 적용: 일부 랜섬웨어 변종은 소프트웨어 취약성을 악용하여 컴퓨터에 액세스하고 감염시킵니다. 패치와 업데이트를 즉시 적용하면 이러한 보안 격차가 악용되기 전에 이를 해소하는 데 도움이 될 수 있습니다.
- 강력한 사용자 인증: RDP 및 기타 원격 액세스 프로토콜은 일반적으로 랜섬웨어로 기업 시스템을 감염시키는 데 사용됩니다. 다중 인증(MFA) 을 포함한 강력한 인증을 배포하면 공격자가 손상된 자격 증명을 사용하여 멀웨어를 배포하는 것을 방지하는 데 도움이 될 수 있습니다.
- 네트워크 세분화: 랜섬웨어 그룹은 초기 감염 지점에서부터 조직의 네트워크를 통해 고가치 시스템으로 측면 이동하는 경우가 많습니다. 네트워크를 격리된 섹션으로 나누는 네트워크 세분화는 이러한 측면 이동을 감지하고 방지하는 데 도움이 될 수 있습니다.
- 랜섬웨어 방지 솔루션: 랜섬웨어의 파일 암호화는 컴퓨터에서 독특한 활동 패턴을 생성하며, 많은 변종이 알려진 시그니처를 가지고 있습니다. 랜섬웨어 방지 솔루션은 랜섬웨어 감염이 비즈니스에 심각한 피해를 입히기 전에 이를 식별하여 차단하거나 치료할 수 있습니다.
- 위협 인텔리전스: 최신 랜섬웨어 공격 캠페인에 대한 지식은 랜섬웨어를 방어하는 데 매우 중요합니다. 위협 인텔리전스 피드를 사이버 보안 솔루션과 통합하면 랜섬웨어 공격을 더 정확하게 식별하고 차단할 수 있습니다.
체크 포인트로 랜섬웨어 공격 방지
이중 갈취 랜섬웨어 공격은 백업을 랜섬웨어 방어 수단으로 무력화할 수 있기 때문에 기업에 심각한 위협이 됩니다. 이 위협을 방어하는 방법에 대해 자세히 알아보려면 랜섬웨어 예방을 위한 CISO 가이드를 확인하세요.
랜섬웨어는 체크포인트의 사이버 보안 보고서에 자세히 설명되어 있듯이 조직이 직면하는 많은 사이버 위협 중 하나입니다. 체크 포인트 하모니 엔드포인트는 랜섬웨어 및 기타 엔드포인트 보안 위협에 대한 강력한 보호 기능을 제공합니다. 회사에 대한 엔드포인트 보안 위협을 관리하는 방법에 대해 자세히 알아보려면 무료 데모에 등록하세요.
피드백