랜섬웨어는 사용자 또는 조직이 컴퓨터의 파일에 액세스하는 것을 거부하도록 설계된 멀웨어입니다. 사이버 공격자는 이러한 파일을 암호화하고 암호 해독 키에 대한 몸값 지불을 요구함으로써 조직을 몸값을 지불하는 것이 파일에 대한 액세스 권한을 다시 얻는 가장 쉽고 저렴한 방법인 위치에 놓이게 합니다. 일부 변종은 랜섬웨어 피해자가 몸값을 지불할 수 있는 추가 인센티브를 제공하기 위해 데이터 도난과 같은 추가 기능을 추가했습니다.
랜섬웨어는 빠르게 가장 많이 되었습니다. 두드러진 그리고 눈에 보이는 유형의 멀웨어. 최근의 랜섬웨어 공격은 중요한 서비스를 제공하는 병원의 능력에 영향을 미치고 도시의 공공 서비스를 마비시켰으며 다양한 조직에 심각한 피해를 입혔습니다.
현대의 랜섬웨어 열풍은 2017년 워너크라이(WannaCry) 사태와 함께 시작되었습니다. 널리 알려진 이 대규모 공격은 랜섬웨어 공격이 가능하고 잠재적으로 수익성이 있음을 보여주었습니다. 그 이후로 수십 개의 랜섬웨어 변종이 개발되어 다양한 공격에 사용되었습니다.
The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.
In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.
In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.
랜섬웨어가 성공하려면 대상 시스템에 대한 액세스 권한을 얻고 파일을 암호화하고 피해자에게 몸값을 요구해야 합니다.
구현 세부 사항은 랜섬웨어 변종마다 다르지만 모두 동일한 핵심 세 단계를 공유합니다
랜섬웨어는 다른 멀웨어와 마찬가지로 다양한 방법으로 조직의 시스템에 액세스할 수 있습니다. 그러나 랜섬웨어 운영자는 몇 가지 특정 감염 벡터를 선호하는 경향이 있습니다.
그 중 하나가 피싱 이메일입니다. 악성 이메일에는 악성 다운로드를 호스팅하는 웹 사이트 링크 또는 다운로더 기능이 내장된 첨부 파일이 포함될 수 있습니다. 이메일 수신자가 피싱에 속으면 랜섬웨어가 컴퓨터에 다운로드되어 실행됩니다.
또 다른 인기 있는 랜섬웨어 감염 벡터는 원격 데스크톱 프로토콜(RDP)과 같은 서비스를 이용합니다. RDP를 사용하면 직원의 로그인 자격 증명을 훔치거나 추측한 공격자가 이를 사용하여 엔터프라이즈 네트워크 내의 컴퓨터에 인증하고 원격으로 액세스할 수 있습니다. 이 액세스를 통해 공격자는 멀웨어를 직접 다운로드하여 자신이 제어하는 컴퓨터에서 실행할 수 있습니다.
워너크라이(WannaCry)가 이터널블루(EternalBlue) 취약점을 악용한 것과 같이 시스템을 직접 감염시키려고 시도하는 사람들도 있습니다. 대부분의 랜섬웨어 변종에는 여러 감염 벡터가 있습니다.
랜섬웨어가 시스템에 액세스한 후 파일 암호화를 시작할 수 있습니다. 암호화 기능은 운영 체제에 내장되어 있기 때문에 파일에 액세스하고, 공격자가 제어하는 키로 암호화하고, 원본을 암호화된 버전으로 교체하기만 하면 됩니다. 대부분의 랜섬웨어 변종은 시스템 안정성을 보장하기 위해 암호화할 파일을 신중하게 선택합니다. 일부 변형은 암호 해독 키 없이 복구를 더 어렵게 만들기 위해 파일의 백업 및 섀도 복사본을 삭제하는 단계를 수행합니다.
파일 암호화가 완료되면 랜섬웨어는 몸값을 요구할 준비가 됩니다. 다양한 랜섬웨어 변종이 이를 다양한 방식으로 구현하지만 디스플레이 배경이 랜섬 노트 또는 랜섬 노트가 포함된 암호화된 각 디렉토리에 배치된 텍스트 파일로 변경되는 것은 드문 일이 아닙니다. 일반적으로 이러한 메모는 피해자의 파일에 액세스하는 대가로 일정 금액의 암호화폐를 요구합니다. 몸값이 지불되면 랜섬웨어 운영자는 대칭 암호화 키를 보호하는 데 사용되는 개인 키의 사본 또는 대칭 암호화 키 자체의 사본을 제공합니다. 이 정보는 암호 해독 프로그램(사이버 범죄자가 제공)에 입력할 수 있으며, 이 프로그램은 이를 사용하여 암호화를 되돌리고 사용자 파일에 대한 액세스를 복원할 수 있습니다.
이 세 가지 핵심 단계는 모든 랜섬웨어 변종에 존재하지만 다른 랜섬웨어에는 다른 구현 또는 추가 단계가 포함될 수 있습니다. 예를 들어, Maze와 같은 랜섬웨어 변종은 데이터 암호화 전에 파일 스캔, 레지스트리 정보 및 데이터 도난을 수행하고, WannaCry 랜섬웨어는 감염 및 암호화할 다른 취약한 디바이스를 스캔합니다.
Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:
수십 개의 랜섬웨어 변종이 존재하며 각각 고유한 특성을 가지고 있습니다. 그러나 일부 랜섬웨어 그룹은 다른 그룹보다 더 많고 성공적이어서 군중에서 눈에 띄게 되었습니다.
류크 는 매우 표적화된 랜섬웨어 변종의 예입니다. 일반적으로 스피어 피싱 이메일을 통해 전달되거나 손상된 사용자 자격 증명을 사용하여 RDP(원격 데스크톱 프로토콜)를 사용하여 엔터프라이즈 시스템에 로그인합니다. 시스템이 감염되면 Ryuk는 특정 유형의 파일을 암호화한 다음(컴퓨터 작동에 중요한 파일은 피함) 몸값을 요구합니다.
Ryuk는 현존하는 가장 비싼 유형의 랜섬웨어 중 하나로 잘 알려져 있습니다. 류크는 몸값을 요구한다. 평균 100만 달러 이상. 결과적으로 Ryuk의 배후에 있는 사이버 범죄자들은 주로 요구 사항을 충족하는 데 필요한 리소스를 보유한 기업에 중점을 둡니다.
이 미로 랜섬웨어는 최초의 랜섬웨어 변종으로 유명합니다. 파일 암호화와 데이터 도난 결합. 표적이 몸값 지불을 거부하기 시작하자 Maze는 피해자의 컴퓨터에서 민감한 데이터를 수집한 후 암호화하기 시작했습니다. 몸값 요구가 충족되지 않으면 이 데이터가 공개적으로 노출되거나 최고 입찰자에게 판매됩니다. 비용이 많이 드는 데이터 유출 가능성은 추가 지불 인센티브로 사용되었습니다.
Maze 랜섬웨어 배후의 그룹은 공식적으로 운영 종료. 그러나 이것이 랜섬웨어의 위협이 감소했다는 것을 의미하지는 않습니다. 일부 Maze 계열사는 Egregor 랜섬웨어를 사용하도록 전환했으며 Egregor, Maze 및 Sekhmet 변종에는 공통 소스가 있는 것으로 믿어집니다.
REvil 그룹(소디노키비라고도 함) 대규모 조직을 대상으로 하는 또 다른 랜섬웨어 변종입니다.
REvil은 인터넷에서 가장 잘 알려진 랜섬웨어 제품군 중 하나입니다. 2019년부터 러시아어를 사용하는 REvil 그룹이 운영해 온 이 랜섬웨어 그룹은 'Kaseya' 및 'JBS'와 같은 많은 대규모 침해를 담당했습니다
지난 몇 년 동안 가장 비싼 랜섬웨어 변종이라는 타이틀을 놓고 Ryuk와 경쟁했습니다. REvil은 다음과 같은 것으로 알려져 있습니다. 800,000달러의 몸값을 요구했습니다..
REvil은 전통적인 랜섬웨어 변종으로 시작했지만 시간이 지남에 따라 진화했습니다.
그들은 이중 갈취 기술을 사용하여 파일을 암호화하면서 기업에서 데이터를 훔치고 있습니다. 즉, 공격자는 데이터 암호 해독을 위해 몸값을 요구하는 것 외에도 두 번째 지불이 이루어지지 않으면 도난당한 데이터를 공개하겠다고 위협할 수 있습니다.
LockBit은 2019년 9월부터 운영 중인 데이터 암호화 멀웨어이며 최근 랜섬웨어 RaaS(RaaS)입니다. 이 랜섬웨어는 보안 어플라이언스 및 IT/SOC 팀이 신속하게 탐지하는 것을 방지하는 방법으로 대규모 조직을 신속하게 암호화하기 위해 개발되었습니다.
2021년 3월, Microsoft는 Microsoft Exchange 서버 내의 4가지 취약점에 대한 패치를 출시했습니다. 디어크라이(DearCry)는 마이크로소프트 익스체인지(Microsoft Exchange)에서 최근 공개된 4가지 취약점을 악용하도록 설계된 새로운 랜섬웨어 변종이다
DearCry 랜섬웨어는 특정 유형의 파일을 암호화합니다. 암호화가 완료되면 DearCry는 사용자에게 파일 암호 해독 방법을 배우기 위해 랜섬웨어 운영자에게 이메일을 보내도록 지시하는 랜섬 메시지를 표시합니다.
Lapsus$는 일부 유명 표적에 대한 사이버 공격과 연결된 남미 랜섬웨어 갱단입니다. 사이버 갱단은 피해자의 요구가 이루어지지 않으면 민감한 정보를 공개하겠다고 위협하는 갈취로 유명합니다. 이 그룹은 Nvidia, Samsung, Ubisoft 등에 진출한 것을 자랑했습니다. 이 그룹은 훔친 소스 코드를 사용하여 멀웨어 파일을 신뢰할 수 있는 것으로 위장합니다.
A successful ransomware attack can have various impacts on a business. Some of the most common risks include:
Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:
적절한 준비를 통해 랜섬웨어 공격의 비용과 영향을 크게 줄일 수 있습니다. 다음 모범 사례를 따르면 조직이 랜섬웨어에 노출되는 것을 줄이고 그 영향을 최소화할 수 있습니다.
랜섬웨어 감염의 잠재적 비용이 높기 때문에 예방은 최고의 랜섬웨어 완화 전략입니다. 이는 다음을 해결하여 공격 표면을 줄임으로써 달성할 수 있습니다.
사용자의 모든 파일을 암호화해야 한다는 것은 랜섬웨어가 시스템에서 실행될 때 고유한 지문을 갖는다는 것을 의미합니다. 랜섬웨어 방지 솔루션은 이러한 지문을 식별하기 위해 구축되었습니다. 좋은 랜섬웨어 방지 솔루션의 일반적인 특성은 다음과 같습니다.
랜섬 메시지는 랜섬웨어 감염이 성공했음을 나타내기 때문에 누구나 컴퓨터에서 보고 싶어하는 것이 아닙니다. 이 시점에서 활성 랜섬웨어 감염에 대응하기 위해 몇 가지 조치를 취할 수 있으며 조직은 몸값을 지불할지 여부를 선택해야 합니다.
많은 성공적인 랜섬웨어 공격은 데이터 암호화가 완료되고 감염된 컴퓨터 화면에 랜섬 노트가 표시된 후에만 탐지됩니다. 이 시점에서 암호화된 파일은 복구할 수 없지만 몇 가지 단계를 즉시 수행해야 합니다.
체크포인트의 안티 랜섬웨어 기술은 가장 정교하고 교묘한 제로데이 랜 섬웨어 변종을 방어하고 암호화된 데이터를 안전하게 복구하여 비즈니스 연속성과 생산성을 보장하는 특수 목적 엔진을 사용합니다. 이 기술의 효과는 당사 연구팀에 의해 매일 검증되고 있으며, 공격을 식별하고 완화하는 데 있어 탁월한 결과를 지속적으로 입증하고 있습니다.
체크포인트의 선도적인 엔드포인트 예방 및 대응 제품인 Harmony Endpoint는 안티랜섬웨어 기술을 포함하고 있으며, 체크포인트의 업계 최고의 네트워크 보호 기능을 활용하여 웹 브라우저와 엔드포인트에 대한 보호 기능을 제공합니다. Harmony Endpoint는 모든 멀웨어 위협 벡터에 대해 완전한 실시간 위협 차단 및 해결 기능을 제공하여 직원이 생산성 저하 없이 어디에 있든 안전하게 작업할 수 있도록 합니다.