오늘날 현존하는 가장 유명한 멀웨어 변종 중 하나인 랜섬웨어 는 사이버 범죄자가 몸값을 지불할 때까지 피해자가 파일에 액세스하는 것을 거부할 수 있도록 하는 것으로, 사이버 범죄자와 사이버 방어자 모두의 주요 초점이 되었습니다.
랜섬웨어는 암호 해독 키에 액세스할 수 있는 사람만 암호화된 데이터에 적용된 변환을 되돌리고 사용 가능한 원래 버전을 복원할 수 있도록 설계된 암호화 알고리즘을 사용하여 작동합니다. 피해자는 귀중한 데이터에 대한 액세스 권한을 상실하여 몸값을 지불하도록 동기를 부여받으며, 몸값을 지불하면 랜섬웨어 운영자는 암호화된 모든 데이터에 대한 액세스를 복원하기 위해 짧은 암호 해독 키를 제공하기만 하면 됩니다.
랜섬웨어의 이론은 매우 간단하며 랜섬웨어의 변종마다 크게 다르지 않습니다. 그러나 사이버 범죄자가 랜섬웨어를 사용하는 방법의 세부 사항은 그룹 및 공격 캠페인에 따라 매우 다를 수 있으며 지난 몇 년 동안 크게 발전했습니다.
체크포인트 리서치(Checkpoint Research)에 따르면, 2021년 상반기 전 세계적으로 랜섬웨어의 영향을 받은 조직의 수는 2020년 대비 두 배 이상 증가했으며, 의료 및 유틸리티 부문은 2021년 4월 초부터 가장 많이 표적이 된 부문입니다.
2020년 이중 갈취의 성공은 특히 코로나19 팬데믹이 발생한 이후 분명해졌습니다. 모든 사례와 그 결과가 보고되고 공개되는 것은 아니지만, 2020년에서 2021년 사이에 수집된 통계는 공격 벡터의 중요성을 보여줍니다. 평균 몸값은 작년에 171% 상승하여 거의 $310,000에 달했습니다.
2020년 말과 2021년 초에 발생한 랜섬웨어 공격은 본질적으로 이중 갈취 랜섬웨어 접근 방식을 확대하여 프로세스에 추가적이고 고유한 위협인 삼중 갈취 공격을 통합하는 새로운 공격 체인을 가리킵니다
2021년 유명한 공격 - Microsoft Exchange 해킹, Colonial Pipeline 네트워크, City of Tulsa, JBS Meat Company, Fujifilm
2019년 말과 2020년 초에 랜섬웨어 공격에서 새로운 트렌드가 나타났습니다. 랜섬웨어 작성자는 피해자의 파일을 암호화하는 데 국한되지 않고 대상의 민감한 데이터도 훔치기 시작했습니다. 사용자 데이터를 훔치는 랜섬웨어 변종 에는 Ako, CL0P, DoppelPaymer, Maze, Pysa, Nefilim, Nemty, Netwalker, Ragnarlocker, REvil, Sekhmet 및 Snatch가 있습니다.
이 조치는 랜섬웨어 감염의 피해자가 된 후 몸값 지불을 거부하는 조직에 대한 대응이었습니다. 랜섬웨어 공격을 치료하는 데 드는 비용이 요구된 몸값보다 높은 경우가 많지만, 사이버 범죄자가 작업을 계속하고 추가 공격을 수행할 수 있으므로 몸값을 지불해서는 안 된다는 것이 모범 사례입니다.
랜섬웨어 운영자는 암호화된 컴퓨터에서 데이터를 암호화하기 전에 훔쳐 피해자가 몸값 지불을 거부하면 이 데이터를 노출하겠다고 위협할 수 있습니다. 수집 및 유출되는 데이터의 유형에 따라 조직이 시장에서 경쟁 우위를 잃거나 위탁된 고객 데이터를 보호하지 못해 GDPR(General Data Protection Regulation)과 같은 데이터 보호법을 위반할 수 있습니다.
2019년은 랜섬웨어 운영자가 중요한 기관으로 초점을 전환한 해로 유명합니다. 2019년 1분기에만 미국의 621개 이상의 병원, 학교, 도시가 Ryuk 및 기타 랜섬웨어 변종에 의한 랜섬웨어 공격의 피해자가 되었습니다. 이러한 공격으로 인해 수억 달러의 비용이 발생했으며 그 결과 도시는 주민들에게 서비스를 제공할 수 없었고 병원은 환자에게 중환자 치료를 제공하기 위해 필수적이지 않은 절차를 취소해야 했습니다.
랜섬웨어에 대한 이 새로운 접근 방식은 이러한 조직이 제공하는 서비스의 중요성을 활용했습니다. 공격으로부터 복구하는 동안 운영 저하를 견뎌낼 수 있는 일부 기업과 달리 도시, 학교 및 병원은 가능한 한 빨리 운영을 복구해야 했으며 종종 비상 자금에 접근할 수 있었습니다. 그 결과, 이러한 조직에 대한 랜섬웨어 공격은 종종 성공적이었고 계속 발생하고 있습니다.
임의의 개인과 기업을 대상으로 하는 대부분의 랜섬웨어 공격과 달리 Ryuk 랜섬웨어 는 고도로 표적화된 공격이었습니다. 이 작전의 배후에 있는 사이버 범죄자들은 약간의 다운타임으로도 비즈니스가 크게 중단될 수 있는 피해자를 표적으로 삼았습니다.
Ryuk는 개인의 데이터를 훔치거나 손상시키는 대신 회사 서버를 암호화하고 몸값을 지불할 때까지 비즈니스를 방해하도록 설계되었습니다.
류크의 표적
표적이 된 피해자 중에는 트리뷴 신문을 포함한 신문사와 노스캐롤라이나의 수도 유틸리티 회사가 포함되었습니다. 영향을 받은 신문사들은 유료 기밀 광고를 포함하지 않은 일간 뉴스의 축소 버전을 제작해야 했습니다.
상세 정보
Ryuk는 TrickBot이라는 멀웨어와 원격 데스크톱 소프트웨어를 통해 시스템을 감염시켰습니다. 서버에 대한 액세스를 차단한 후 Ryuk는 약 $100,000-$500,000에 해당하는 15-50개의 비트코인을 요구했습니다.
서버를 비활성화하고, 엔드포인트를 감염시키고, 백업을 암호화하는 것 외에도 Ryuk는 피해자가 공격으로부터 복구하는 것을 방지하기 위해 Windows 운영체제 시스템 복원 옵션을 비활성화했습니다.
멀웨어가 발견되었을 때 공격을 막기 위해 패치가 만들어졌지만 유지되지 않았습니다. 서버가 다시 온라인 상태가 되자마자 Ryuk는 전체 서버 네트워크를 재감염시키기 시작했습니다.
맥아피(McAfee)의 전문가들은 류크(Ryuk)가 스스로를 라자루스 그룹(Lazarus Group)이라고 부르는 북한 해커 그룹으로부터 유래한 코드를 사용하여 구축되었다고 의심하고 있다. 그러나 랜섬웨어를 실행하려면 컴퓨터의 언어를 러시아어, 벨로루시어 또는 우크라이나어로 설정해야 했습니다.
Ryuk와 마찬가지로 PureLocker는 전체 서버를 암호화 하고 액세스를 복원하기 위해 몸값을 요구하도록 설계되었습니다. 멀웨어는 샌드박스 환경에서 악의적인 동작을 숨기고 정상적인 기능을 모방하여 탐지되지 않도록 특별히 설계되었습니다. 또한 악성 코드가 실행된 후 자체적으로 삭제됩니다.
PureLocker의 목표
PureLocker는 공격자가 막대한 몸값을 지불할 것으로 생각되는 대기업의 서버를 표적으로 삼았습니다.
상세 정보
철저한 분석 후 Intezer와 IBM X-Force의 암호화 연구원들은 이 랜섬웨어가 PureBasic 프로그래밍 언어로 작성되었기 때문에 PureLocker라고 명명했습니다.
퓨어베이직(PureBasic)에서 멀웨어를 작성하는 것은 드문 일이지만, 이는 공격자에게 퓨어베이직(PureBasic)으로 작성된 악성 소프트웨어를 탐지하기 어렵다는 심각한 이점을 제공했다. PureBasic 프로그램은 다양한 플랫폼에서도 쉽게 사용할 수 있습니다.
PureLocker는 여전히 대규모 사이버 범죄 조직에 의해 실행되고 있습니다. 전문가들은 PureLocker가 대기업을 표적으로 삼는 데 필요한 지식을 갖춘 사이버 범죄 조직에 서비스로 판매되고 있다고 생각합니다. 이상하게도 랜섬웨어 서비스(RaaS)는 이제 "사물"이 되었습니다.
사이버 보안 전문가들은 PureLocker가 어떻게 서버에 침투하는지 정확히 알지 못합니다. 네트워크 보안에 제로 트러스트 접근 방식을 채택하는 것이 알려지지 않은 위협으로부터 보호하는 가장 좋은 방법입니다.
REvil은 러시아, 시리아 또는 기타 여러 인근 국가에서 실행되지 않는 GandCrab이라는 변종의 멀웨어입니다. 이것은 그 기원이 그 지역에서 왔음을 나타냅니다.
PureLocker와 마찬가지로 REvil은 서비스형 랜섬웨어로 여겨지며 보안 전문가들은 2019년에 본 최악의 랜섬웨어 사례 중 하나라고 말했습니다.
REvil이 왜 그렇게 나쁜가요? 대부분의 랜섬웨어 공격에서 사람들은 몸값 요구를 무시하고 손실을 줄일 수 있습니다. 그러나 공격의 배후는 몸값을 지불하지 않으면 암호화한 기밀 데이터를 게시하고 판매하겠다고 위협했습니다.
REvil의 목표
2019년 9월, REvil은 텍사스에서 최소 22개의 작은 마을을 폐쇄했습니다. 3개월 후, 새해 전야에 REvil은 영국의 환전소인 Travelex를 폐쇄했습니다.
Travelex가 파산했을 때 공항 거래소는 구식으로 돌아가 교환을 문서화하기 위해 종이 장부를 작성해야 했습니다. 사이버 범죄자들은 600만 달러의 몸값을 요구했지만 Travelex는 이 금액을 지불했는지 확인하거나 부인하지 않습니다.
상세 정보
REvil은 Oracle WebLogic 서버 및 pulse Connect Secure VPN의 취약점을 악용합니다.
2019년 3월 1일, 랜섬웨어가 제퍼슨 카운티의 911 파견 센터를 공격하여 오프라인 상태로 만들었습니다. 카운티 교도소 직원들도 원격으로 감방 문을 열 수 없게 되었고, 경찰관들은 더 이상 노트북에서 번호판 데이터를 검색할 수 없게 되었습니다.
작동하는 911 시스템이 없었기 때문에 도시 전체가 이 랜섬웨어 공격의 2차 영향에 취약했습니다. 파견 담당자는 2주 동안 컴퓨터에 액세스할 수 없었습니다.
수감자들이 가족들과 소통할 수 있는 화상회의 시스템도 다운됐다. 교도관들은 수감자들을 가족 면회에 직접 데려가야 했기 때문에 안전에 대한 위험이 커졌습니다.
시는 400,000달러의 몸값을 지불하고 시스템을 복구할 수 있었습니다.
2019년 4월 10일, 노스캐롤라이나주 그린빌 시는 RobinHood라는 랜섬웨어의 공격을 받았습니다. 대부분의 서버가 오프라인 상태가 되었을 때 IT 팀은 피해를 완화하기 위해 나머지 서버를 오프라인 상태로 전환했습니다.
이 공격은 RobinHood가 라운드를 시작한 처음이 아닙니다. 2019년 5월, 볼티모어 시는 큰 타격을 입었습니다. 이 도시는 로빈후드 공격으로부터 복구하기 위해 1,000만 달러 이상을 지출해야 했습니다. 몸값은 76,000달러에 불과했지만 데이터를 복구하는 데 460만 달러가 들었고 도시의 모든 시스템이 한 달 동안 작동하지 않았습니다. 이 도시는 1,800만 달러의 피해를 입었습니다.
2018년, 암호화폐의 가치 상승으로 크립토재킹이 급증하면서 랜섬웨어의 인기가 떨어졌습니다. 크립토재킹 멀웨어는 대상 컴퓨터를 감염시키고 이를 사용하여 비트코인 및 기타 작업 증명(PoW) 암호화폐를 "채굴"하고 유효한 블록을 찾는 것과 관련된 보상을 받는 데 필요한 계산 집약적인 단계를 수행하도록 설계되었습니다.
그러나 이것이 랜섬웨어가 2018년에 완전히 비활성화되었다는 것을 의미하지는 않습니다. 2018년 8월, Ryuk 랜섬웨어(오늘날 주요 랜섬웨어 위협 중 하나)가 "야생에서" 처음으로 발견되었습니다. Ryuk의 출현은 랜섬웨어 운영자가 돈을 버는 방식의 변화의 일부였습니다. 워너크라이(WannaCry)와 같은 공격은 질보다 양을 목표로 삼았으며, 가능한 한 많은 피해자를 공격하고 각 피해자에게 소액의 몸값을 요구했습니다. 그러나 일반인이 암호화폐로 몸값을 지불하는 노하우가 부족했기 때문에 이 접근 방식이 항상 수익성이 있는 것은 아니었습니다. 결과적으로 랜섬웨어 운영자는 지불을 받기 위해 상당한 양의 "고객 서비스"를 제공해야 했습니다.
2018년 이후에는 랜섬웨어 운영자가 표적을 선택하는 데 있어 더욱 까다로워졌습니다. 사이버 범죄자는 특정 기업을 공격함으로써 멀웨어로 암호화된 데이터가 가치가 있고 표적이 몸값을 지불할 수 있는 가능성을 높일 수 있습니다. 이를 통해 랜섬웨어 운영자는 피해자당 더 높은 가격을 요구할 수 있었고 합리적인 지불 기대를 할 수 있었습니다.
2017년은 랜섬웨어가 대중의 인식에 제대로 들어온 해였습니다. 랜섬웨어는 수십 년 동안 존재해 왔지만 2017년 WannaCry 및 NotPetya 공격으로 인해 이러한 유형의 멀웨어는 누구나 아는 이름이 되었습니다. 이러한 랜섬웨어 변종은 또한 다른 사이버 범죄자와 멀웨어 작성자가 랜섬웨어 공간에 진입하도록 영감을 주었습니다.
워너크라이(WannaCry)는 NSA에서 개발한 이터널블루(EternalBlue) 익스플로잇을 사용하여 컴퓨터 간에 확산되는 랜섬웨어 웜입니다. 워너크라이(WannaCry)는 3일 만에 200,000대 이상의 컴퓨터를 감염시키고 수십억 달러의 피해를 입혔으며, 보안 연구원이 내장된 "킬 스위치"를 목표로 삼아 공격을 종료했습니다.
NotPetya는 실제로 랜섬웨어가 아니라 랜섬웨어로 가장한 와이퍼 멀웨어인 유명한 변종의 예입니다. 피해자에게 몸값 지불을 요구했지만 멀웨어 코드는 멀웨어 운영자에게 암호 해독 키를 제공할 방법이 없었습니다. 키가 없었기 때문에 피해자에게 제공할 수 없었고 암호화된 파일을 복구할 수 없었습니다.
랜섬웨어는 사이버 범죄자에게 매우 효과적인 도구임이 입증되었습니다. 데이터에 대한 액세스 권한 상실로 인해 많은 조직이 데이터를 검색하기 위해 많은 몸값을 지불하게 되었습니다. 랜섬웨어의 성공은 랜섬웨어가 조직의 사이버 보안에 위협이 되지 않는다는 것을 의미합니다. 이러한 유해한 멀웨어로부터 보호하려면 전문 랜섬웨어 방지 솔루션을 배포해야 합니다.