Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

랜섬웨어

“몸값을 지불해도 복구시켜주지 않는” 콘티 랜섬웨어에 대해 알아야 할 것들

콘티(Conti) 랜섬웨어 그룹은 피해자가 암호화된 파일을 복구하는데 도움을 주지 않고 데이터를 유출할 가능성이 더 높다.    콘티는 지난 2년 동안 공격적인 랜섬웨어 가운데 하나였으며, 많은 대기업과 정부, 법 집행기관, 의료 기관을 지속적으로 공격하고 있다. 보안 연구원들은 일반적으로 랜섬웨어 그룹이 평판에 신경을 쓰는 것과는 달리, 콘티는 피해자와의 약속을 항상 이행하지는 않는다고 경고했다.  팔로알토 네트웍스(Palo Alto Networks) 연구진은 한 분석 보고서에서 “일반적으로 성공적인 랜섬웨어 운영자는 피해자로부터 몸값 지불을 용이하게 하는 방법으로 어느 정도 ‘진실성’을 확보하고 유지하기 위해 많은 노력을 기울인다. 랜섬웨어 공격자는 ‘고객 서비스’로 신뢰를 쌓기 위해 피해자가 몸값을 지불하면 암호화된 파일을 해독하고 유출 웹사이트에 정보를 게시하지 않겠다는 약속을 이행하려 한다. 하지만 지금까지 콘티는 피해자에 대한 평판에 신경을 쓰지 않았다”라고 밝혔다.  2019년 말에 처음 등장한 콘티는 점차 성장을 거듭해 주요 RaaS(ransomware-as-a-service) 가운데 하나가 됐다. 이 그룹은 위자드 스파이더(Wizard Spider)로 알려진 러시아 사이버범죄 그룹이 운영하는 류크(Ryuk) 랜섬웨어와 관련이 있는 것으로 추정된다. 미국 CISA(Cybersecurity and Infrastructure Security Agency)와 FBI는 최근 경보에서 미국 및 국제 조직에 대한 400건 이상의 공격에서 콘티 랜섬웨어가 사용된 것을 관찰했다고 밝혔다. 사이버범죄 정보업체인 레코디드 퓨처(Recorded Future)에 따르면, 콘티는 2021년 9월 록빗(LockBit) 다음으로 많은 피해자를 낸 랜섬웨어 변종이다.  또한 콘티의 운영 방식은 다른 RaaS 그룹과 조금 다르다. 대부분의 그룹은 협력자(affiliates)라 부르는 파트너와 함께 피해자를 해킹하고 몸값 지...

콘티 Conti 랜섬웨어 2021.10.29

랜섬웨어 보험 청구 감소, 사이버 보험 시장에 큰 파장 예상

최근 한 연구에서 랜섬웨어 공격 및 보험금 지급 청구에 관한 변동이 발견됐다. 분명 사이버 위협 환경에 큰 변화가 생길 것으로 예상된다. 이런 변동이 사이버 보험 시장의 변화를 유도한다면 보험회사를 비롯한 기업 전반에 어떤 영향을 미칠지 살펴보자.     보험 청구 비용에 영향을 주는 랜섬웨어 우선순위 변경 이번 연구는 코버스 보험(Corvus Insurance)의 리스크 인사이트 인덱스에서 살펴볼 수 있다. 이 보고서에 따르면, 현재 랜섬웨어 보험 청구 비용이 눈에 띄게 변동되고 있다. 코버스는 랜섬웨어 보험 청구가 2020년 2분기부터 2021년 1분기까지 증가했지만 2021년 2분기에는 50%까지 감소했고, 이런 추세는 2021년 3분기까지 지속됐다는 사실을 발견했다. 또한 몸값 지불로 이어진 랜섬웨어 보험 청구는 2020년 3분기에는 44%였지만 2021년 3분기에 12%로 감소했다. 코버스는 이런 변화가 더욱 효율적인 랜섬웨어 복구를 가능하게 하는, 효과적인 데이터 백업 관리와 같은 전략으로 보험 계약자의 준비성과 회복력에 중점을 두면서 생긴 것으로 추정된다고 밝혔다. 또한 대규모 클라이언트를 보유한 IT 업체가 운영 중단으로 인한 법적 책임을 피하기 위해 랜섬웨어 공격을 예방하고 회복하는 데 더 주의를 기울이고 있다고 덧붙였다. 예컨대 250인 이상 기업의 경우, 기술 업체를 고소할 확률이 10인 이하 기업보다 216% 더 높으며, 11~50인 기업에 비해서는 2배 높은 것으로 나타났다.   랜섬웨어 트렌드 변화가 사이버 보험에 영향을 미칠까? 이런 랜섬웨어 보험 청구 트렌드의 변화가 미래 사이버 보험 시장에 어떻게 영향을 미칠까? 가격 정책이 랜섬웨어 공격과 몸값 요구의 감소 추세를 반영하는 방향으로 바뀔까? 더 나아가 랜섬웨어 예방과 복구에 더 중점을 둔다면 더 나은 거래로 보상을 받을 수 있을까? 코버스의 최고 보험 책임자 로리 베일리는 "이런 추세에 관한 전반적인 비즈니스 연속성 전략은 사이버 보험 시장에서 ...

보안 랜섬웨어 보험 2021.10.22

미국 주도의 랜섬웨어 이니셔티브, 그 희망과 과제

미국 주도의 랜섬웨어 이니셔티브는 30여 개국이 랜섬웨어와의 전쟁에서 협력하기 위한 방안에 대해 논의하고 있는데, 러시아 주도의 UN 이니셔티브와 경쟁하고 있다.    최근 미국 백악관 국가안보회의(National Security Council, NSC) 주최로 열린 랜섬웨어 대응 이니셔티브(Counter-Ransomware Initiative) 행사가 이틀 간의 공개 세션과 비공개 세션을 끝마쳤다. 이 행사에는 EU를 비롯한 30여 개국의 장관들과 대표가 참석했다.   흥미롭게도, 사이버 범죄자들은 러시아 이외 국가들의 표적에 대해 랜섬웨어 및 악성코드 공격을 실행하는 경우가 많은 데, 은신처 역할을 하는 것으로 추정되는 러시아는 이번 회의에서 제외됐다. 미 백악관은 “러시아가 러시아 내의 범죄 행위자들이 벌이는 공격 행위에 대해 조치를 취할 것을 기대하고 있다. 전문가 그룹은 ‘솔직하고 전문적인 교류’를 해오고 있으며, 미국은 자국 영토에서 행해지는 랜섬웨어 활동과 관련해 러시아와 정보를 공유했다”라고 언급했다.   그렇다고 러시아가 사이버보안에 대한 국제적 논의를 하지 않으려는 것은 아니다. 러시아는 국제적인 논의를 형성하기 위해 노력하고 있으며, UN 내에서 사이버 범죄 조약 체결을 주도하고 있다. 2021년 5월 임시 위원회에서 2022년 1월 시작하는 6일 간의 회의를 개최하는 요구 결의안을 통과시켰다.  랜섬웨어 공격 중단을 위한 협력  조 바이든 미국 대통령은 사이버보안 인식의 달(Cybersecurity Awareness Month) 담화에서 밝힌 ‘악의적인 사이버 활동을 중단하기 위해 역량을 총동원하는 것’에 대한 중요성을 강조했다. 특히 네트워크 탄력성 향상을 위해 협력하고, 랜섬웨어 수익성을 높이는 금융 시스템 해결, 법 집행 기관들의 협력을 통해 랜섬웨어 생태계 붕괴, 외교 활동을 통한 범죄자의 은신처 해결을 위한 여러 국가 간의 협력을 향상시키는 것이 목적이다. 채택된 4가지...

랜섬웨어 2021.10.20

RaaS로 성공한 '레빌 랜섬웨어'의 주요 동향과 이를 막는 방법

레빌(Revil)은 서비스로서의 랜섬웨어(Ramsomware as a Service, RaaS) 공격으로, 지난 해 전 세계 많은 기업들의 돈을 강탈했다. 레빌의 이름은 영화 레지던트 이블(Resident Evil)을 모티브로 한 랜섬웨어 이블(Ransomeware Evil)을 의미한다. 보안업체들이 발행한 최근 보고서에서 따르면, 레빌은 가장 널리 퍼진 랜섬웨어 위협이며, 이 공격 집단은 비즈니스 데이터까지 훔쳐 이를 공개하겠다고 위협함으로써 강탈 활동을 배가시켰다.    소디노키비(Sodinokibi)라고도 알려진 레빌은 2019년 4월 처음 출현했고, 갠드크랩(GranCrab)이라는 다른 RaaS 범죄 집단이 활동을 중단한 후 유명세를 타기 시작했다. 그래서 레빌이 처음 출현했을 때 여러 전문가와 보안업체는 이 집단이 갠드크랩의 변종이거나 최소한 연관성이 있다고 주장했다. 소디노키비의 구성원으로 추정되는 언노운(Unknown)이라는 인물은 최근 인터뷰에서 레빌이 새로운 창작물이 아니고, 이들이 입수한 오래된 코드베이스를 기반으로 만들어졌음을 확인해주었다.   RaaS 공격의 배후에 있는 개발자는 이른바 ‘협력자’라고 알려진 사이버 범죄자에 의존해 랜섬웨어를 유포한다. 랜섬웨어 개발자는 불법 수익금의 20~30%를 가져가고, 나머지는 실질적으로 기업 네트워크에 접근하고 악성코드를 전개하는 일을 하는 ‘협력자’가 가져간다.  RaaS 공격이 성공적일수록 유능한 협력자를 유인할 가능성이 높아지고, 한 공격이 끝나면 협력자는 신속히 다른 공격으로 넘어간다. 이는 과거 갠드크랩(GandCrab)에서 나타났고, 최근에는 메이즈(Maze)에서 그러했다. 이 구성원들이 갠드크랩 활동 중단을 발표하자, 협력자들은 에그리거(Egregor), 또는 세크메트(Sekhmet)라고 알려진 새로운 랜섬웨어로 신속히 이동했다. 2021년 7월, 레빌 협력자는 카세야(Kaseya)라는 업체가 개발한 시스템 관리 및 모니터링 도구의 제로데이 취...

레빌 랜섬웨어 RaaS 2021.10.15

“베테랑의 귀환” 랜섬웨어 대응책으로 활용하는 테이프 백업

테이프 백업은 분명 데이터 복구를 위한 최고의 선택은 아니다. 하지만 테이프 백업의 몇 가지 특징은 랜섬웨어의 피해자가 된 시스템과 데이터를 인질 비용 없이도 복구할 수 있는 믿을 만한 방안을 제공한다. 물론, 일반적인 복구 툴로는 클라우드가 더 많은 장점이 있다. 하지만 테이프 백업을 진지하게 고려해야 할 환경이 있으며, 랜섬웨어도 그 중 하나이다.     클라우드로는 충분하지 않을 때 랜섬웨어 복구용으로 클라우드를 사용하는 것은 많은 영역에서 믿음에 대한 이야기가 되었다. 클라우드를 선택하면 비용부터 속도, 즉각적인 가용성 등 많은 긍정적인 효과를 얻을 수 있는데, 모두 랜섬웨어 공격에 대응할 때 유리한 요소다. 하지만 클라우드를 신뢰하지 않은 산업군에 있는 기업은 다르다. 특히 일부 정부기관은 데이터에 대한 직접적인 통제를 절대로 포기하지 않으려 한다. 전자적으로, 그리고 물리적으로 직접 관리할 수 있는 데이터 사본이 손에 있어야만 한다. 눈에 보이는 강철 케이지에 넣어두어야 비로소 물리적으로 안전하다고 생각한다. 클라우드는 보이지 않으니, 안전하지 않은 것으로 간주한다. 또 어떤 조직은 일부 애플리케이션은 클라우드 사용을 허용하지만, 데이터 보호에 적합하다고 생각하지는 않는다.   디스크의 위험성 오래 전 테이프 백업 솔루션 업체의 슬로건은 “디스크에 있는 것이 리스크”였다. “테이프는 형편없다. 옮겨야 한다”라는 디스크 솔루션 업체의 광고에 대응한 것이었지만, 디스크와 리스크 간의 관계는 일부 사실이다. 만약 백업이 데이터센터의 디스크 드라이브에 있고, 백업 서버 운영체제의 파일 시스템으로 액세스할 수 있다면, 똑같이 랜섬웨어에 의해 공격당할 수 있다. 불변성을 갖춘 파일 시스템이라 하더라도 해커가 루트 또는 관리자 같은 특권 계정을 가지고 있으면, 덮어쓰기를 할 수 있다. 테이프 솔루션 업체의 주장이 맞았다. 데이터가 데이터센터의 디스크에 있으면, 공격받을 수 있다.   진정한 에어갭을 제공하는 테이프 백업...

테이프백업 랜섬웨어 복구 2021.09.30

랜섬웨어 위협에 숨어있는 비용 7가지

랜섬웨어는 가장 빠르게 증가하고 있는 사이버보안 공격 가운데 하나다. 랜섬웨어가 특히 위협적인 이유는 막대한 비용 지출에 있다. 보안 컨설팅 업체 NCC 그룹의 보고서에 따르면, 전 세계 랜섬웨어 공격 수는 2021년 1분기와 2분기 사이 288% 증가했고 기업은 표적화된 랜섬웨어 형태의 디지털 갈취 위협에 지속적으로 직면하고 있다.   랜섬웨어 공격을 받은 기업이 상당한 금전적 피해를 입을 수 있다는 것은 잘 알려진 사실이다. 비용을 말할 때 보통 비즈니스 손실, 지불한 몸값, 컨설턴트 수수료 등에 초점을 두지만, 잘 알려지지 않은 재무 측면의 영향도 있다. 다음은 랜섬웨어 공격의 예상치 못한 직간접적 비용이다. 보안과 관련되지 않은 부분도 있지만 CISO를 비롯한 보안 리더라면 랜섬웨어에 대비한 보안 투자를 정당화하기 위해 이와 같은 잠재적 비용을 인지하고 있어야 한다. 비즈니스 운영 지속 시장조사 업체 포레스터 분석가 앨리 멜런은 랜섬웨어 공격 이후 비즈니스 연속성을 유지하는 데 큰 비용이 들 수 있다면서 “성공적인 랜섬웨어 공격은 수일, 수주 또는 수개월 동안 비즈니스 운영에 영향을 미칠 수 있다. 모든 직원이 회사 계정에 로그인하지 못하거나 비즈니스 데이터에 접근하지 못할 경우 비즈니스를 지탱하기 위해 필요한 핵심적인 업무를 할 수 없기 때문이다”라고 말했다. 리미지(Rimage) CEO인 크리스토퍼 렌스는 “랜섬웨어로부터 복구하는 데 드는 비용은 평균적으로 몸값 지불액의 10배에 이른다”면서 “복구와 연속성이 진짜 문제다. 대부분의 기업은 모든 데이터가 어디에서 오는지 알지 못하며, 복구 프로세스가 시작되기 전까지는 데이터가 완전히 백업되고 있는지, 심지어 애초에 백업이 되고 있는지조차 모른다”라고 토로했다.  렌스는 피해 기업은 복구 후에도 위험에서 벗어났다고 느끼지 못한다면서 “데이터의 복잡성에 따라 다르지만 기업이 완전히 복구하는 데 길게는 12개월이 걸릴 수 있다. 복구와 지속적인 실사를 위해 필요한 기술은 대부분의...

랜섬웨어 2021.09.24

카세야 랜섬웨어 공격 타임라인 정리 - 9월 업데이트

2021년 7월, 미국의 소프트웨어 제공업체 카세야(Kaseya)에 대한 러시아와 관련된 랜섬웨어 그룹 레빌(REvil)의 공격으로 최대 2,000개의 기관과 기업이 영향을 받은 것으로 추정된다. 레빌은 카세야의 원격 컴퓨터 관리 도구의 취약점(CVE-2021-30116)을 이용해 공격을 감행했고 그 여파가 몇 주 동안 지속되면서 해당 사건에 대한 정보가 점차 공개되고 있다.   이 사건은 소프트웨어 공급망과 정교한 랜섬웨어 그룹에 의한 위협을 다시금 상기시켰다. 다음은 카세야의 사건 업데이트 페이지와 기타 출처를 바탕으로 해당 공격의 타임라인과 영향을 받은 피해자들에 대한 기록이다.  카세야 레빌 랜섬웨어 공격 타임라인 - 7월 2일 금요일: 카세야의 사건 대응팀은 원격 컴퓨터 관리 도구인 카세야 VSA(Kaseya VSA)와 관련된 잠재적인 보안 이벤트를 탐지했다.  이 조사를 통해 카세야는 모든 온프레미스 고객에게 추가적인 공지가 있을 때까지 VSA 서버를 셧다운하도록 조언했으며 예비 조치로써 SaaS 서버도 셧다운했다. 카세야의 내부팀은 보안 전문가들과 함께 문제의 원인을 파악하고 FBI와 CISA 등의 시행 및 정부 사이버보안 기관에 알렸다. 카세야는 조기 지표를 통해 소수(40곳)의 온프레미스 카세야 고객만이 영향을 받았음을 확인했으며 취약점의 출처를 알아냈다고 밝혔다. 미 동부시간으로 오후 10시 패치가 준비되고 있었다. - 7월 3일 토요일: 카세야가 사이버 공격을 받았다고 밝혔다.  카세야는 계속해서 온프레미스 고객들에게 패치가 공개될 때까지 VSA 서버를 오프라인 상태로 유지하도록 강력히 권고했다. 또한 랜섬웨어 공격자들로부터 메시지를 받은 고객이 어떤 링크도 클릭하지 않도록 조언했다. 카세야는 VSA 고객이 시스템의 상태를 평가하는 데 도움이 되는 해킹 탐지 도구를 만들고 있다고 발표했다. 카세야는 지속적으로 영향을 받은 사용자에게 연락하고 다음 날 CEO 프레드 보콜라가 사건에 대한 인터뷰를 진행...

랜섬웨어 카세야 Kaseya 2021.09.24

글로벌 칼럼 | 레빌 랜섬웨어 해독키를 공개하지 않았던 FBI의 속사정

미국 연방수사국(FBI)이 러시아 기반 랜섬웨어 그룹 레빌(REvil)의 키를 보유하고 있었던 것으로 밝혀졌다. 사이버범죄자가 피해 기업의 데이터를 암호화하고 돈을 요구했음에도 FBI는 3주 동안 해독키를 공개하지 않았다. FBI는 어떤 의도로 레빌 랜섬웨어의 해독키를 감췄던 것일까. FBI가 보호하려던 것은 무엇일까.   22일(현지시간) 워싱턴 포스트의 보도에 따르면, FBI는 레빌 랜섬웨어의 해독키를 공개하기 3주 전에 이미 키를 비밀리에 입수했다. FBI 국장 크리스토퍼 레이는 최근 미국 의회 청문회에서 해독키 공개가 늦어진 이유에 대해 다른 기관 및 동맹국과의 협력 때문이라고 언급했다. 레이는 “미국 단독으로 결정하지 않고 공동으로 한다. 영향력을 최대로 이끌어내기 위한 굉장히 복잡한 의사결정 과정이며, 미국 뿐만 아니라 전 세계 자원을 모아야 하는 상황에서 적에게 대응하는 것은 시간이 걸린다”라고 말했다. 레이의 말에서 유추할 수 있는 것은 FBI가 해독키를 가지고 있었다는 사실이다. FBI는 ‘비밀리에 입수한’ 키를 어떤 기관이나 동맹국으로부터 받았는지 밝히지는 않았다. 다만 제3자 원칙(The Third-Party Doctrine)에 따라 ‘레빌을 잡기 위한’ 첩보 활동을 진행하는 데 활용했다. 제3자 원칙은 자발적으로 넘긴 정보에 대해서 수사기관이 영장 없이 수색하는 것을 허용한 미국 대법원 판례다. 싱크탱크인 실베라도 폴리시 액셀러레이터(Silverado Policy Accelerator) 회장 드미트리 알페로비치는 지난 21일 뉴욕타임즈 기고를 통해 “미국은 랜섬웨어의 인질이 됐다. 이제 반격해야 할 때”라며, 바이든 행정부에 외교와 방어 능력의 확대라는 두 가지 접근법을 제시했다. 알페로비치는 특히 레빌처럼 러시아나 북한, 이란에 기반을 둔 ‘강력한 랜섬웨어 그룹’에 대항하기 위해서는 공격력이 필요하다고 주장했다. 그는 “미국이 필요한 것은 랜섬웨어 단체의 기반이 되는 인력, 인프라, 자금을 겨냥한 공격적인 작전이다”라고...

레빌 랜섬웨어 FBI 2021.09.23

컴볼트, 랜섬웨어 보호 및 대응 서비스 2종 출시 “모든 단계에서 전략적 보호”

컴볼트가 랜섬웨어 공격의 모든 단계에서 전략적 보호 체계를 지원하는 ‘랜섬웨어 보호 및 대응 서비스’를 출시했다고 16일 밝혔다. 최근 조사에 따르면 랜섬웨어 공격으로 인한 데이터 복구에 드는 비용이 랜섬웨어 몸값보다 평균 10배 이상이며, 공격을 받은 조직은 평균 21일간 다운타임을 경험하는 것으로 나타났다. 랜섬웨어 공격에 따른 피해 비용은 천문학적인 수준에 이르지만 기업 대부분은 공격에 대한 대응 체계가 미비한 상태다. 사전에 대비하는 기업도 매우 적은 실정이다.  이에 컴볼트는 데이터 보호 및 복구 지원을 강화하는 ‘컴볼트 랜섬웨어 보호 및 대응 서비스(Commvault Ransomware Protection and Response Services)’ 2종을 출시했다. 신규 서비스 2종은 그간 축적된 컴볼트의 데이터 관리 설계 및 계획과 복구 노하우를 기반으로 개발됐다. 랜섬웨어 공격으로부터 기업을 보호하고, 시간 경과에 따른 데이터 보호 솔루션의 상태 검토와 공격 발생 시 주요 데이터 복구에 필요한 자원과 기능을 포괄적으로 제공한다. 신규 서비스 중 ‘컴볼트 랜섬웨어 보호 설계 및 계획(Commvault Ransomware Protection Design and Plan)’은 기업이 지속되는 위협과 공격에 대비할 수 있는 체계를 마련해주는 서비스다. 랜섬웨어 준비 상태(readiness)를 파악하기 위한 스코어카드를 제공하고, 이를 바탕으로 권장 사항과 우선순위에 따른 조치 계획 등을 컨설팅해 실질적인 결과를 제공한다.  ‘컴볼트 랜섬웨어 대응(Commvault Ransomware Response)’ 서비스는 공격을 당했을 때 복구를 지원한다. 컴볼트 복구 운영 서비스 팀에서 지원하는 ‘랜섬웨어 복구 인시던트 매니저(Ransomware Recovery Incident Manager)’ 서비스와 통합돼 주요 데이터 식별과 복구를 지원하며 운영 정상화를 신속하게 돕는다. 이번에 출시된 ‘랜섬웨어 보호 설계 및 계획’ 서비스와 ‘...

컴볼트 랜섬웨어 컴볼트코리아 2021.09.16

랜섬웨어가 지하 경제를 운영하는 방법

랜섬웨어 범죄 집단은 전문화된 직원 역할, 마케팅 계획, 파트너 생태계, 심지어 벤처 캐피털 투자 등 합법적인 기업의 핵심 요소와 함께 전통적인 범죄 기업의 일부 특징을 채택하고 있다.    최근 랜섬웨어 공격으로 원치 않은 관심이 집중되면서 올해 초 주요 사이버범죄 포럼은 랜섬웨어 관련 토론과 거래를 금지했다. 일부에서는 이 금지 조치가 랜섬웨어 집단의 조직력에 상당한 영향력을 미칠 수 있을 것이라 기대했지만, 오히려 사이버범죄자들의 활동을 더 어둠의 세계로 밀어넣을 뿐이며 보안업계와 연구원들이 이를 감시하기가 더 어려워졌다.     포럼의 금지 조치 이후 수개월 동안 랜섬웨어 공격은 그 어느 때보다 강력하고 대담해졌다. 사실 랜섬웨어는 사이버범죄 경제의 생명줄이기 때문에 이를 근절하기 위해 미국 정부는 특단의 조치를 취하고 있다. 최근 랜섬웨어 공격 집단은 고도로 전문화되어 개발팀, 영업 및 홍보부서, 외부 계약업체, 서비스 제공업체 등으로 구성된 현대의 기업 구조와 유사하다. 이들은 심지어 피해자와 의사소통할 때 비즈니스 용어를 사용하기도 하는데, 데이터 암호 해독 서비스를 구매하는 피해자를 고객이라고 부른다.  아카마이 보안 연구원인 스티브 라간은 본지와의 인터뷰에서 “랜섬웨어는 이미 모두가 잘 알고 있는 기업 구조를 형성하고 있다. 다만 범죄자들은 드라마 ‘기묘한 이야기’에서처럼 비즈니스 세계의 거꾸로 된 것 같은 더 어둡고 뒤틀린 평행 세계를 갖고 있다”라고 설명했다.  랜섬웨어에 의존하는 지하 경제  랜섬웨어 운영과 관련한 내용과 범죄 집단의 구성 방식을 살펴보면, 랜섬웨어가 사이버범죄 경제의 중심에 있음을 쉽게 알 수 있다. 랜섬웨어 범죄 집단이 고용하는 사람들과 기업을 비교하면 다음과 같다.     파일 암호화 프로그램 작성(개발팀) 결제 및 유출 사이트, 커뮤니케이션 채널 설정 및 유지 관리(IT 인프라 팀) 포럼에 랜섬웨어 서비스 광고(...

랜섬웨어 사이버범죄 2021.09.06

랜섬웨어 : 지불할 것인가 말 것인가?

랜섬웨어는 계속해서 발전하고 있으며, 현재 서비스형 랜섬웨어(Ransomware-asa-Service)가 인기를 얻고 있습니다. 맬웨어 작성자는 수익의 일부를 받기로 하고 사이버 범죄자에게 맞춤형 랜섬웨어를 판매합니다. 맬웨어 서비스의 구매자는 공격 대상과 구현 방법을 결정합니다. 이러한 일과 위험의 분리 속에서 맬웨어의 대상이 더욱 정교해지고, 구현 방법도 변화하며, 궁극적으로는 랜섬웨어 공격의 빈도가 높아지고 있습니다. 데이터 유출을 통한 갈취 위협과 함께, 최근에 발생하는 이러한 추세로 인해 조직이 평판에 의존하거나 클라우드 연결에 의존하지 않는 AI 기반 행동 감지 엔진을 통해 처음부터 엔드포인트 및 네트워크를 보호하고 위반을 방지하는 것은 필수적인 조치가 되고 있습니다. <14p> 주요 내용 - 랜섬웨어 공격을 중단하기 위해 대가를 지급하는 행위의 불법성 - 랜섬웨어의 요구에 대가를 지급하는 행위의 윤리성  - 랜섬웨어의 요구에 대가를 지급하는 행위의 타당성  - 랜섬웨어 공격에 대가를 지급하지 않을 경우 발생하는 결과  - 랜섬웨어 공격에 대가를 지급할 경우 발생하는 결과

랜섬웨어 AI 행동감지 2021.09.02

주시해야 할 4개의 신흥 랜섬웨어 위협 집단

팔로알토 네트웍스의 유닛 42(Unit 42)의 새로운 연구에 따르면, 현재 기업에 피해를 주면서 앞으로 더 큰 위협이 될 조짐이 보이는 4개의 새로운 랜섬웨어 집단이 확인됐다. 이 4개 집단은 아보스록커(AvosLocker), 하이브 랜섬웨어(Hive Ransomware), 헬로우키티(HelloKitty), 록빗(LockBit) 2.0이다.    떠오르는 랜섬웨어 위협 집단  팔로알토의 최신 보고서 ‘주시해야 할 랜섬웨어 집단(Ransomware Groups to Watch)’는 “레빌(REvil)과 다크사이드(Darkside)와 같은 주요 랜섬웨어 집단이 법 집행기관의 집중 단속과 언론의 관심을 피하기 위해 이름을 변경함에 따라 더 이상 적극적으로 특정 피해자를 목표로 삼지 않는 새로운 집단이 등장할 것”이라고 밝혔다. 이번 보고서에서 팔로알토의 수석 위협 연구원 루크나 니감과 위협 인텔리전스 분석가 도엘 산토스는 4개의 랜섬웨어 집단의 구체적인 행동을 분석했다. - 아보스록커: 2021년 7월에 처음 관찰된 아보스록커는 RaaS(Ransomware as a Service)로 작동하며, 다크웹 토론 포럼인 드레드(Dread)에 서비스를 광고하는 아보스(avos)에 의해 제어된다. 랜섬 노트에는 피해자를 식별하는 데 사용되는 정보와 ID가 포함되어 있으며, 감염된 사용자들에게 복구 및 데이터 복원을 위해 아보스록커 토르 사이트를 방문하도록 지시한다. 이 보고서에 따르면, 몸값은 5만~7만 달러 정도의 모네로(Monero)를 요구했으며, 전 세계 7개 기관이 감염됐다.    - 하이브 랜섬웨어: 이 보고서에 따르면, 2021년 6월에 운영을 시작한 하이브 랜섬웨어는 의료 기관을 비롯해 사이버 공격을 방어할 준비가 되어 있지 않은 기업들을 표적으로 삼았다. 이 집단은 또 다른 28곳의 피해자에 대한 세부 정보를 게시하기 전에 첫 번째 피해자를 유출 사이트인 하이브 리크스(Hive Leaks)에 공개했다.&nbs...

랜섬웨어 아보스록커 AvosLocker 2021.08.26

랜섬웨어 가이드 완결판 : 대비, 대응 및 교정

랜섬웨어는 뱅킹 트로이 목마, 피싱, DDoS, 크립토재킹 등 오랜 역사를 자랑하는 쟁쟁한 라이벌들을 제치고 오늘날 최강의 사이버 범죄 비즈니스 모델로 자리잡았습니다. 세계 각지의 기업이 랜섬웨어의 공격을 받으면서 총 피해 규모도 수십억 달러에 육박합니다.  랜섬웨어 공격이 발견되면 일분일초가 중요합니다.  아무런 조치도 하지 않으면,  시간은 공격자의 편입니다.  점차 더 많은 데이터와 파일이 암호화되고 더 많은 디바이스가 감염되어 결국 막대한 비용과 피해가 발생하게 됩니다. 즉각적이면서도 정보에 근거한 체계적인 조치가 이루어져야 합니다. 본 가이드는 CISO의 관점에서 랜섬웨어의 역사 및 현황을 개괄적으로 살펴보고,  조직의 방어 체계를 강화하는 데 도움이 될 리소스를 소개합니다. 또한 기술적 관점에서 공격이 일어나기 전에 네트워크를 보호할 방법 및 공격자가 방어선을 뚫었을 경우 효과적으로 복구하기 위한 전략을 검토합니다. <46p> 주요 내용 - 랜섬웨어 감염 - 일상의 위험 - 침해 사고 라이프사이클  - 사고 대응 계획 수립 및 예행연습 - 사고 대응 : 사후 조치

랜섬웨어 CISO 방어체계 2021.08.25

미 FBI, ‘원퍼센트’ 랜섬웨어 공격 주의보 “한달 전부터 네트워크 암약”

미국 연방수사국(FBI)이 원퍼센트(OnePercent, 혹은 1Percent)라고 불리는 랜섬웨어 공격 단체에 대해 주의하라고 23일(현지시간) 경고했다.   이 단체는 아이스드아이디(IcedID) 트로이안과 모의 해킹 툴 코발트 스트라이크(Cobalt Strike)를 이용해 기업 네트워크에 침투한다. 이미 유명한 다른 랜섬웨어 공격 단체처럼 원퍼센트는 기업 데이터를 암호화해 탈취한 뒤, 몸값을 지급하지 않으면 해당 정보를 공개하거나 판매할 것이라고 피해 기업을 협박한다. 원퍼센트는 적어도 지난 2020년 11월부터 미국 기업을 상대로 활동한 것으로 보인다. 이들은 최초의 몸값 요청에 일주일 안으로 응답하지 않으면 위조된 번호를 이용해 전화하거나 지속적으로 이메일을 보내는 등 적극적으로 몸값을 요구한다. 아이스드아이디와 코발트 스트라이크를 이용한 ‘낚시’ 원퍼센트는 피해 기업의 네트워크에 처음 잠입할 때 아이스드아이디 트로이목마를 사용한다. 아이스드아이디는 본래 온라인 은행 정보를 빼내도록 설계되었지만, 여타 뱅킹 트로이목마와 마찬가지로 플랫폼에도 접근할 수 있도록 기능이 확장됐다. 과거 트릭봇(TrickBot) 뱅킹 트로이안을 유포한 류크(Ryuk) 랜섬웨어 그룹과 드라이덱스(Dridex)를 유포한 웨이스티드락커(WastedLocker), 굿킷(Gootkit)을 유포한 레빌(REvil) 혹은 소디노키비(Sodinokibi) 그룹과 유사하다. 아이스드아이디는 악성코드 압축파일이 첨부된 피싱 이메일을 통해 배포된다. 압축파일에 들어있는 워드파일에는 아이스드아이디를 다운로드하고 설치한 후, 이를 실행하는 매크로 시스템이 들어있다. 원퍼센트는 아이스드아이디를 설치한 후 코발트 스트라이크(Cobalt Strike)를 배치한다. 코발트 스트라이크는 상업적으로 활용되는 모의 해킹 도구로, 최근 몇 년 사이 여러 사이버 범죄에서 사용되며 유명해졌다. 시스템에 접근할 수 있는 백도어를 생성하고 파워쉘 스크립트를 실행시켜 네트워크에 우회적으로 접속한다. ...

랜섬웨어 트로이안 트로이안목마 2021.08.25

랜섬웨어 관련 소송으로부터 기업을 보호하기 위한 7단계

국제적인 랜섬웨어 범죄 조직만 기업의 돈을 노리는 것은 아니다. 랜섬웨어 공격이 사라진 오랜 뒤에도 기업은 재무적으로 큰 타격이 될 수 있는 위협에 직면할 수 있다. 바로 공격자의 손에 넘어간 개인정보 또는 비즈니스 정보가 넘어간 고객을 대신해 변호사들이 제기하는 소송이다. 킹 앤 스팰딩(King & Spalding)의 소송 및 글로벌 분쟁 부문 리더인 데이비드 밸서는 악의적 행위자들이 계속 기업 IT 시스템의 취약점을 악용하고 개인 데이터에 접근하는 한 데이터 유출과 관련한 법적 소송은 사라지지 않을 것이라면서 “사안이 발전하면서 원고들은 정작 소비자에게 아무런 피해가 없더라도 인과관계와 피해에 관한 새로운 이론을 들고 나온다”라고 설명했다. 법률업체 베이커호스테틀러(BakerHostetler)의 디지털 자산 및 디지털 관리 부문 실장인 테드 코버스는 랜섬웨어 소송 환경이 빠르게 변화할 것으로 전망하면서 “과거에는 소비자가 이런 소송을 제기해왔다. 그러나 공급망 공격이 증가하면서 공급망의 하류에 있는 기업들이 비즈니스 중단, 사고 대응 비용 및 기타 피해에 대한 배상을 받기 위한 소송을 제기하고 나설 가능성이 높아졌다”라고 말했다. 다행히 랜섬웨어 공격이 발생했다고 해서 무조건 소송 위험에 노출되는 것은 아니다. 랜섬웨어 공격의 위험을 최소화하고, 공격이 발생할 경우 즉시 필요한 조치를 취해 피해를 억제하는 것은 전적으로 CISO의 책임이다. CISO가 랜섬웨어 관련 소송으로부터 기업을 보호하기 위한 조치는 다음과 같다.  1. 위험 평가 소송 가능성은 주로 랜섬웨어 공격의 유형, 그리고 정보가 도난당한 경우 그 정보의 종류에 따라 좌우된다. 법률업체 뉴메이어 앤 딜리언(Newmeyer & Dillion)의 파트너인 제프 데니스는 “예를 들어 소비자 대면 웹사이트를 운영하는데 랜섬웨어로 인해 이 웹사이트가 중단되었더라도 소비자 정보가 유출되지 않았다면 집단 소송 가능성은 희박하다”라고 말했다. 그러나 랜섬웨어 공격이 소비자...

랜섬웨어 소송 위험평가 2021.08.20

랜섬웨어 복구, 클라우드가 정답인 이유

랜섬웨어 공격을 받을 경우 몸값 지불을 피하는 가장 좋은 방법은 완전 자동화된 고속 재해복구다. 이 프로세스의 첫 번째 단계는 맬웨어 제거이고, 복구는 두 번째 단계다.  랜섬웨어 공격이 발생한 경우 사용할 수 있는 재해복구 방법은 크게 전통적인 복구, 이미지 기반 복구, 또는 클라우드 기반 복구의 세 가지로 나눌 수 있다. 그러나 대부분 환경에서 대규모 복구를 자동화할 수 있는 유일한 방법은 클라우드 복구 뿐이다.      전통적인 재해복구  전통적인 재해복구는 손실이 발생한 후, 즉 몸값 요구를 받은 이후 전통적인 복원에 착수하는 방법이다. 가상머신 이미지를 VM웨어, 하이퍼-V, KVM과 같은 하이퍼바이저 플랫폼 또는 AWS, 애저, GCP와 같은 하이퍼스케일러에 복원하는 경우도 전통적인 복원에 해당한다. 전통적이라는 말은 사건이 발생하면 그 이후에 복원을 시작한다는 의미다. 뒷에서 다루겠지만 데이터 복원이 필요하기 전에 복원하는 방법도 있다.  그다지 오래되지 않은 과거엔 모두가 이 방법을 사용했으므로 전통적인 방법으로 불린다. 대부분 기업에는 자체 복구 데이터센터를 운영할 예산이 없었으므로 필요할 때를 대비해 복구 데이터센터를 제공하는 서비스를 이용했다. 이 데이터센터를 실제로 이용할 때마다 비용을 지불해야 했으므로 미리 데이터를 복원한다는 것은 생각할 수 없는 일이었다. 재해가 발생할 때까지 기다렸다가, 발생하면 복구 데이터센터에 연락해서 복구를 시작했다. 복원을 수행할 하드웨어를 기업이 직접 소유하지 않으므로 속도가 느리고 자동화하기도 매우 어렵다.  이제 이 방법은 사용하지 말아야 한다. 데이터센터가 감염되거나 재해로 파손된 후 전체 데이터센터에 대해 전통적인 재해복구를 수행하는 데는 너무 오랜 시간이 걸린다. 랜섬웨어 공격을 받은 경우라면 몸값을 지불할 수밖에 없는 상황으로 내몰리게 된다. 몸값 지불은 좋은 해결책이 아니므로 너무 오랜 시간이 걸리는 재해복구 계획은 지양해야...

랜섬웨어 재해복구 RTO 2021.08.09

카세야 랜섬웨어 공격, '뜨거웠던 7월'의 타임라인 정리

2021년 7월, 미국의 소프트웨어 제공업체 카세야(Kaseya)에 대한 악명 높은 러시아와 관련된 랜섬웨어 그룹 레빌(REvil)의 공격으로 최대 2,000개의 기관과 기업이 영향을 받은 것으로 추정된다. 레빌은 카세야의 원격 컴퓨터 관리 도구의 취약점(CVE-2021-30116)을 이용해 공격을 감행했고 그 여파가 몇 주 동안 지속되면서 해당 사건에 대한 정보가 점차 공개되고 있다.   이 사건은 소프트웨어 공급망과 정교한 랜섬웨어 그룹에 의한 위협을 다시금 상기시켰다. 다음은 카세야의 사건 업데이트 페이지와 기타 출처를 바탕으로 해당 공격의 타임라인과 영향을 받은 피해자들에 대한 기록이다.  카세야 레빌 랜섬웨어 공격 타임라인 - 7월 2일 금요일: 카세야의 사건 대응팀은 원격 컴퓨터 관리 도구인 카세야 VSA(Kaseya VSA)와 관련된 잠재적인 보안 이벤트를 탐지했다.  이 조사를 통해 카세야는 모든 온프레미스 고객에게 추가적인 공지가 있을 때까지 VSA 서버를 셧다운하도록 조언했으며 예비 조치로써 SaaS 서버도 셧다운했다. 카세야의 내부팀은 보안 전문가들과 함께 문제의 원인을 파악하고 FBI와 CISA 등의 시행 및 정부 사이버보안 기관에 알렸다. 카세야는 조기 지표를 통해 소수(40곳)의 온프레미스 카세야 고객만이 영향을 받았음을 확인했으며 취약점의 출처를 알아냈다고 밝혔다. 미 동부시간으로 오후 10시 패치가 준비되고 있었다. - 7월 3일 토요일: 카세야가 사이버 공격을 받았다고 밝혔다.  카세야는 계속해서 온프레미스 고객들에게 패치가 공개될 때까지 VSA 서버를 오프라인 상태로 유지하도록 강력히 권고했다. 또한 랜섬웨어 공격자들로부터 메시지를 받은 고객이 어떤 링크도 클릭하지 않도록 조언했다. 카세야는 VSA 고객이 시스템의 상태를 평가하는 데 도움이 되는 해킹 탐지 도구를 만들고 있다고 발표했다. 카세야는 지속적으로 영향을 받은 사용자에게 연락하고 다음 날 CEO 프레드 보콜라가 사건에 대한 인...

랜섬웨어 카세야 레빌 2021.08.05

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.