입문서 랜섬 그룹
Inc. 랜섬 그룹은 2023년 7월에 처음 등장했습니다. 같은 해 9월에는 12명의 피해자를 성공적으로 침투시켰다고 공개적으로 발표했는데, 그 숫자는 현재 급격히 증가했습니다.
Inc. 랜섬은 TOR 기반 블로그를 운영하며 성공적인 사이버 사고와 관련된 정보를 주기적으로 공개하고 있습니다. 과거 블로그에서 랜섬웨어의 영향을 받은 피해자와 각 기업에서 유출된 데이터의 양을 요약하여 설명한 바 있습니다.
공격 방법
다음은 일반적인 경로의 예입니다. 기업 시스템을 침해하기 위해 몸값이 뒤따릅니다:
- 초기 액세스: Inc. 랜섬은 Citrix NetScaler의 CVE-2023-3519와 같은 비즈니스 서비스의 취약성 또는 사용자 자격 증명을 손상시키는 일련의 스피어 피싱 캠페인을 표적으로 삼습니다.
- 시스템 스캔: 위협 행위자가 기업의 시스템에 액세스하면, 침해된 계정을 사용하여 여러 형태의 시스템 스캔을 수행합니다. 네트워크, 도메인 및 기타 연결된 네트워크 디바이스를 스캔하여 에코시스템의 다른 취약점을 검색합니다.
- 데이터 검사: 그룹은 손상된 계정을 사용하여 문서, 이미지 및 폴더의 내용을 검사하여 시스템에 중요한 데이터가 있는지 확인합니다.
- 추가 추출: lsassy.y 사용 및 기타 기본 도구, Inc. 그런 다음 랜섬은 사용 가능한 다른 로그인 자격 증명을 추출하여 여러 회사 시스템, 네트워크 및 계정에 액세스합니다.
- 랜섬웨어 배포: 공격 그룹이 기업 내 수많은 디바이스와 시스템에 액세스할 수 있게 되면 이러한 엔드포인트에 랜섬웨어를 설치하는 페이로드를 배포합니다. 이 랜섬웨어는 문서를 암호화하고 회사 액세스를 차단하며, Inc. 랜섬은 자동화를 활용하여 기업 규모의 데이터 시스템을 빠르게 장악합니다.
Inc. 랜섬 그룹의 페이로드는 다양한 명령줄 인수를 지원하며 멀티 스레딩 방식을 사용하여 사용자 데이터를 암호화합니다.
의 일반적인 대상은 다음과 같습니다. 랜섬 그룹
랜섬웨어 위협은 크게 두 가지 그룹에 집중하는 경향이 있습니다:
전자의 경우 유출되는 데이터의 총 가치는 더 적을 수 있지만 방어 수단도 더 적을 것입니다.
반대로 엔터프라이즈 기업은 일반적으로 광범위한 사이버 보안 방어 솔루션을 보유하고 있지만 훨씬 더 가치 있는 데이터를 보유하고 있습니다. 이 두 그룹 중 Inc. 랜섬은 주로 후자에 초점을 맞추고 있습니다. 이들은 주로 다음과 같은 분야를 포함한 고부가가치 데이터 산업의 대기업, 다국적 기업을 타깃으로 삼습니다:
Inc. 랜섬의 공격은 대부분 북미, 유럽 및 호주에 있는 기업에 집중됩니다. 피해자 수가 가장 많은 산업은 전문 서비스, 제조, 건설, 의료 분야입니다.
Inc. 랜섬 그룹
랜섬웨어 위협을 예방하고 완화하기 위한 몇 가지 모범 사례는 다음과 같습니다. 랜섬 및 기타 랜섬웨어 위협을 예방하고 완화하는 모범 사례입니다.
- 공격 시그니처 식별: 네트워크와 시스템을 모니터링하고 잠재적인 침해 징후를 찾아보세요. 위협 징후, 의심스러운 활동 또는 이상한 파일 상호 작용을 발견하면 가능한 한 빨리 해당 영역을 격리하세요.
- 시스템 모의 침투 테스트: 정기적인 레드팀 구성과 모의 침투 테스트는 비즈니스에서 시스템의 취약점을 최대한 빨리 파악하는 데 도움이 됩니다. 랜섬웨어와 같은 그룹이 취약점을 발견하기 전에 취약점을 식별하고 무력화할 수 있다면, Inc. 랜섬과 같은 그룹이 취약점을 찾아내기 전에 이를 무력화할 수 있다면 비즈니스를 안전하게 보호할 수 있습니다.
- 직원 교육 제공: Inc. 랜섬은 스피어 피싱을 활용하여 경영진과 다른 직원들로부터 사용자 자격 증명을 훔칩니다. 피싱 및 랜섬웨어 예방 교육을 의무적으로 제공함으로써 손상된 계정을 통해 랜섬웨어가 시스템에 침입할 가능성을 제한할 수 있습니다.
- 랜섬웨어 방지 소프트웨어를 사용하세요: 랜섬웨어 공격이 남길 수 있는 일반적인 위협 지표로 인해, 안전을 지키기 위해 사용할 수 있는 효과적인 랜섬웨어 방지 도구가 많이 있습니다. 랜섬웨어 보호 솔루션을 배포하면 엔드포인트를 최대한 안전하게 보호 하여 전체 시스템의 온라인 보안에 기여할 수 있습니다.
- 위협 대응 계획을 수립하세요: 이 책의 모든 모범 사례를 활용하고 세계 최고의 사이버 보안 솔루션을 사용하더라도 랜섬웨어가 시스템에 침입할 가능성은 항상 존재합니다. 가능성이 희박하더라도 시스템에서 랜섬웨어를 제거하고 중요한 파일을 보호하는 방법에 대한 계획을 수립하면 공격이 발생했을 때 사이버 방어 전략을 신속하게 동원할 수 있습니다.
- 정기 백업 생성: 비즈니스는 시스템 데이터의 백업을 정기적으로 만들어야 합니다. 가능하면 여러 개의 다른 사본을 만들어 격리된 네트워크에 저장하세요. 예를 들어, 한 버전은 로컬 스토리지에, 다른 버전은 클라우드에, 세 번째 버전은 안전한 타사에 저장할 수 있습니다. 백업은 비즈니스에서 랜섬웨어 위협이 발생했을 때 비즈니스 데이터를 복원하고 업무를 계속할 수 있도록 보장합니다.
Ransomware Protection with 체크 포인트
Inc. 랜섬 그룹은 현대 기업, 특히 강력한 사이버 보안 기반을 마련하고 직원 보안 교육에 투자하지 않은 기업에게 심각한 위협이 되고 있습니다. 일단 그룹이 시스템에 액세스하게 되면 효과적인 방어를 수행하기가 훨씬 더 어려워집니다.
전체 공격 표면에서 선제적인 보안 계층과 선제적인 사이버 솔루션을 사용하면 Inc. 랜섬 및 기타 랜섬웨어 위협의 유입 가능성을 줄일 수 있습니다. 체크 포인트 안티랜섬웨어 솔루션은 정교한 전사적 랜섬웨어 차단 기능을 제공합니다. Harmony Endpoint 의 일부인 체크포인트는 자동화와 선도적인 사이버 보안 전략을 사용하여 비즈니스를 안전하게 보호하는 완벽한 엔드포인트 보호 기능을 제공합니다.
무료 데모를 예약하여 체크포인트가 랜섬웨어로부터 비즈니스를 보호하는 방법에 대해 자세히 알아보세요.
피드백