랜섬허브의 출현과 진화
랜섬허브는 2024년 초에 발생한 기록적인 체인지 헬스케어 공격의 와중에서 탄생했습니다.
Change Healthcare가 공격을 받았을 때 랜섬웨어 계열사에 의해 의료 데이터가 도난당했고, ALPHV가 자체 개발한 랜섬웨어 변종에 의해 시스템이 마비되었습니다.
내면의 배신
ALPHV의 이용 약관에 따라 제휴사는 2,200만 달러의 지급금 중 대부분을 가져가기로 되어 있었으며, ALPHV는 일정 부분을 삭감당했습니다. 하지만 이번에는 랜섬웨어 소유자가 제휴사의 지갑에 침입하여 지불금 전체를 훔쳤습니다. 그런 다음 웹 사이트에 가짜 FBI 삭제 공지를 게시하여 구경꾼들을 혼란스럽게 만들었습니다.
연구원들은 현재 이들이 탈퇴 사기를 벌여 서비스를 이용하던 제휴사들을 대거 차단한 것으로 보고 있습니다.
기회 포착
범죄자들은 랜섬웨어 제공업체에 의해 거액의 돈을 탈취당했지만, 이 제휴사는 여전히 테라바이트에 달하는 피해자 건강 데이터를 보유하고 있었습니다.
같은 달, 오랜 기간 지속된 글로벌 노력이 마침내 결실을 맺어 한때 군림하던 계열사 그룹 LockBit이 무릎을 꿇었습니다. ALPHV에 의해 버려진 사이버 범죄자들은 급속히 새로운 기회주의자들의 홍수처럼 몰려들었습니다.
랜섬허브 출시
2024년 4월, 원래의 Change Healthcare 계열사가 다시 등장했는데, 먼저 랜섬허브라는 이름의 자체 갈취 회사를 설립한 후 초기 ALPHV 공격에서 탈취한 데이터로 Change Healthcare의 모회사인 UnitedHealth를 곧바로 갈취하기 시작했습니다. 그 결과 암시장의 관심이 집중되었고, 인기 있는 몸값 노트로 인해 금전적 이득을 얻었습니다.
랜섬허브는 탈취한 파일의 일부를 공개하면서 "우리 팀원들은 오직 달러에만 관심이 있다"는운영 모토를 분명히 했습니다.
랜섬허브의 운영 방식
랜섬허브는 최근의 이전 랜섬웨어와 마찬가지로, 공격자가 초기 액세스 권한을 획득하고 가능한 한 많은 민감한 데이터를 훔친 다음 랜섬웨어 페이로드를 배포하는 이중 강탈 방식에 의존합니다. 피해 기업은 직원과 고객의 액세스 권한을 되찾기 위해 시스템을 해체하는 것뿐만 아니라 민감한 데이터의 공개를 막기 위해 범죄자에게 돈을 지불해야 하는 도덕적 딜레마까지 해결해야 하는 두 가지 악몽을 떠안게 됩니다.
의료 정보 유출 사고의 경우 기업의 고객이 돈을 지불하거나 개인 의료 정보가 공개될 수 있기 때문에 이러한 갈취 방식은 더욱 기승을 부릴 수 있습니다.
랜섬허브가 금전적 이득에만 초점을 맞추고 있기 때문에, 결정적인 요소는 랜섬허브의 랜섬웨어가 실제로 어떻게 작동하는지에 있습니다. 랜섬허브의 소프트웨어는 암호화 직전에 안전 모드에서 디바이스를 재시작하여 보안 기능을 종료하는 Knight의 기능과 같이 이전 랜섬웨어 변종의 몇 가지 기능을 결합합니다.
Snatch와 프로그래밍 언어를 공유하지만 구성 가능한 명령어, 더 강력한 코드 난독화 등 몇 가지 차이점이 있습니다.
랜섬웨어 보호 & 예방 전략
랜섬웨어 예방은 거의 항상 적절한 사이버 위생으로 귀결되므로, 랜섬허브 계열사를 차단하기 위한 3가지 전략에 대해 자세히 알아보세요.
#1. 다중 인증 사용
모든 시작이 된 랜섬웨어 공격의 경우, 2021년에 체인지 헬스케어를 표적으로 삼은 공격에서 포렌식 사후 조사 결과 문제의 제휴사가 한 사용자의 계정을 통해 액세스 권한을 얻었으며, 비밀번호가 재사용되고 어느 시점에서 유출되어 연쇄적인 불법 액세스 및 데이터 도난으로 이어졌다는 사실이 밝혀졌습니다.
미국 전체 고객의 의료비 결제 프로세스의 40%를 처리하고 이제야 피해 고객에게 개인 데이터 도난에 대한 알림을 발송하기 시작한 Change Healthcare의 재정적 영향은 이제 막 시작되었을 뿐입니다.
이 공격은 탈취한 자격 증명을 사용하는 것이 훨씬 빠르고 쉬운 방법을 완벽하게 요약한 것입니다. 인포스틸러는 이미 사이버 범죄 시장에서 이 틈새를 메우고 있어 유효한 인증 정보를 더욱 빠르게 확보할 수 있습니다.
도난당한 인증정보의 오용을 방지하는 것은 인프라적으로 가장 쉽게 사이버 보안에 변화를 가져올 수 있는 방법 중 하나이며, 특히 기업에서 이미 Ping, Microsoft 또는 Okta와 같은 ID 및 액세스 관리 (IAM) 솔루션을 사용하고 있는 경우 더욱 그러합니다.
다중 인증(MFA)은 사용자가 다른 정보를 통해 로그인 시도를 확인하도록 요구하며, 계정 탈취자의 공격 경로를 차단합니다.
#2. 정기적으로 소프트웨어 업데이트
연구원들은 최근 랜섬허브 범죄자들이 합법적인 원격 액세스 및 네트워크 스캐닝 도구를 배포하기 전에 Microsoft 제로로곤 결함을 통해 액세스 권한을 획득하고 있다는 사실을 발견했습니다.
이 과정을 통해 크리스티 경매장을 공격할 수 있었고, 아이러니하게도 크리스티의 개인 데이터를 최고가 입찰자에게 경매에 넘기게 되었습니다.
정기적인 패치를 적용하고 모든 소프트웨어를 최신 상태로 유지하면 임베디드 결함을 통한 악의적인 액세스를 방지할 수 있습니다. 이를 위해 공개된 모든 소프트웨어 결함의 심각도를 조사합니다. 이를 통해 어떤 패치를 먼저 적용해야 하는지 우선순위를 정할 수 있습니다.
더 좋은 점은 자동 업데이트를 통해 팀이 문제를 해결하기 전에 악용되는 것을 방지할 수 있다는 것입니다.
#3. 네트워크 세그먼트
파텔코 신용 조합은 가장 최근에 공개된 랜섬허브의 피해자 중 하나로, 랜섬허브의 갈취 포털은 신용 조합의 경영진이 고객의 개인정보에 "전혀 신경 쓰지 않는" 방법을 자세히 설명했습니다. 엔드포인트를 집중적으로 공격한 후 PII가 많은 데이터베이스로 측면 이동하는 공격 방식을 고려할 때, 엔드포인트 세분화는 랜섬허브를 막을 수 있는 잠재력이 매우 큽니다.
네트워크 세분화를 구현하려면 네트워크 팀은 보호가 필요한 각 데이터 및 자산 유형에 맞는 보안 정책을 개발하는 것부터 시작해야 합니다. 이러한 정책은 각 리소스, 리소스에 액세스할 수 있는 사용자 및 시스템, 부여해야 하는 액세스 수준을 지정해야 합니다.
허용 목록 액세스 제어 구현하기
다음 단계는 네트워크 보안을 크게 강화하는 허용 목록 액세스 제어를 구현하는 것입니다.
이를 효과적으로 수행하려면 팀은 각 애플리케이션에 대한 애플리케이션 데이터 흐름을 매핑해야 합니다. 이 프로세스는 시간이 많이 소요될 수 있지만, 사이버 보안 침해로 인한 잠재적 비용과 비교하면 투자 가치가 있으며 랜섬웨어를 제거하는 것보다 훨씬 쉽습니다.
체크 포인트 보안으로 랜섬허브 제휴사 차단하기
보안 상태를 수정하는 데 수백 시간을 소비하는 대신, 체크 포인트 Harmony 를 통해 랜섬웨어를 완벽하게 차단하는 데 큰 진전을 이루세요.
다각적인 접근 방식으로 이메일, 엔드포인트, 소프트웨어 및 데이터베이스를 보호하는 고도의 보호 기능을 제공합니다. 자연어 처리 기능은 사기성 이메일이 전송되는 시점을 식별하고, 적시 파일 분석은 악성 다운로드를 방지합니다.
업계 최고의 데이터 유출 방지 기능으로 취약성 및 패치 관리를 자동화하고 데이터베이스를 안전하게 보호하세요. 마지막으로, 쉽게 읽을 수 있는 대시보드를 통해 이 모든 것을 단일 창에서 확인할 수 있습니다. 지금 데모로 RansomHub 방어 캠페인을 시작하세요.
피드백