랜섬웨어 공격이 기업과 산업을 어떻게 혼란에 빠뜨리나요?
게시 됨: 2019-03-253월 19 일 화요일, 세계 최대 알루미늄 생산업체 중 하나인 Norsk Hydro는 랜섬웨어 공격에 맞서 싸웁니다.
어느 회사의 미국 기반 공장, 알루미늄 잉곳을 기어로 바꾸는 금속 압출 및 기타 압연 제품 공장으로 인해 건설업체, 자동차 제조업체 및 기타 산업을 위한 기계가 폐쇄되어야 했습니다. 회사가 좋은 백업 계획을 가지고 있었기 때문에 상황은 현재 통제되고 있습니다. 또한 회사는 노르웨이의 대형 제련소 운영을 수동으로 전환했습니다.
회사는 페이스북에 게시한 성명에서 “Hydro는 공격을 억제하고 무력화하기 위해 노력하고 있지만 아직 상황의 전체 범위를 알지 못합니다.”라고 말했습니다.
<blockquote class=”twitter-tweet” data-lang=”en”><p lang=”en” dir=”ltr">그들은 주식 시장에 수동 작업에 들어갔다고 알렸습니다. 거래가 무엇인지 아는 사람이 있습니까?</p>— Kevin Beaumont ??️ (@GossiTheDog) <a href=”https://twitter.com/GossiTheDog/status/1107928639612555265?ref_src=twsrc%5Etfw”>2019년 3월 19일</a></blockquote>
<스크립트 비동기 src=”https://platform.twitter.com/widgets.js” charset=”utf-8″></script>
랜섬웨어가 회사 시스템에 어떻게 침투하는지, 어떻게 작동하는지, 이름이 무엇인지, 보안을 유지하기 위해 무엇을 해야 하는지 와 같은 이 공격적인 질문이 떠오릅니다 .
그 답은 찾기 어렵지 않습니다.
계속 읽으면서 랜섬웨어, 시스템 악용 방법 등에 대한 정보를 얻을 수 있습니다.
노르웨이 국가 안보국(NNSA)에 따르면 가장 먼저 공격자들은 LockerGoga라는 랜섬웨어를 사용했습니다.
랜섬웨어를 엔드포인트에 전달하기 위해 회사 자체 Active Directory 서비스를 사용했습니다.
이 랜섬웨어가 등장한 것은 이번이 처음이 아닙니다. LockerGoga는 지난 1월 프랑스 엔지니어링 회사인 Altran Technologies로부터 공격 및 금품 갈취에 사용되었습니다.
“LockerGoga는 제한된 표적 공격에만 사용됩니다. 그것은 '스프레더'가 없으며 WannaCry 또는 NotPetya와 다릅니다. 이미 관리자 액세스 권한이 있는 공격자가 배포해야 합니다.”라고 Beaumont는 Twitter를 통해 말했습니다.
공격자는 어떻게 관리 사이트에 액세스할 수 있었습니까?
요즘에는 관리 사이트에 액세스하는 것이 큰 문제가 아닙니다. 해커는 사이버 범죄 시장에서 무차별 대입 원격 데스크톱 프로토콜 자격 증명을 얻는 가장 일반적인 접근 방식을 사용합니다. 이러한 자격 증명의 도움으로 그들은 수익 창출을 위해 랜섬웨어를 사용하기 전에 조직의 네트워크에 쉽게 진입하여 이를 연구하고 시스템에서 민감한 데이터를 급습합니다.
LockerGoga란 무엇이며 어떻게 작동합니까?
LockerGoga는 컴퓨터 파일을 암호화하고 이를 해독하기 위해 몸값을 요구하는 상당히 새로운 종류의 랜섬웨어입니다. 이 랜섬웨어는 DLL 파일을 암호화하며 수동으로 설치됩니다. 그 배후의 공격자들은 주로 Active Directory를 사용하여 랜섬웨어를 유포합니다.
Norsk Hydro의 경우 LockerGoga를 퍼뜨리기 위해 피싱 캠페인이 사용된 것으로 의심됩니다. 또한 작성 당시 LockerGoga에 사용할 수 있는 암호 해독 도구가 없습니다. 랜섬웨어에 대한 최선의 방어는 피싱 공격에 대한 주의, 준수, 업데이트된 안티바이러스 및 기타 엔드포인트 보호 실행입니다.
LockerGoga는 어떻게 작동합니까?
LockerGoga 배후의 공격자는 전형적인 접근 방식을 사용합니다. 즉, 악성코드는 대상 확장자를 사용하여 파일을 암호화한 다음 Ryuk, SamSam의 경우와 같이 몸값을 남깁니다.
일단 설치되면 암호를 변경하여 사용자 계정을 변경하고 로그인한 사용자를 로그오프하여 임시 폴더에 자신을 재배치하고 명령줄을 통해 자신의 이름을 바꾸려고 합니다. 또한 LockerGoga는 피해자의 휴지통 디렉토리 내용도 암호화합니다. 이 멀웨어의 또 다른 흥미로운 특징은 각 파일을 개별적으로 암호화하고 레지스트리 키( HKEY_CURRENT_USER\SOFTWARE\Microsoft\RestartManager\Session00{01-20})가 수정된 후 각 파일이 암호화된다는 것입니다.
일반적으로 랜섬웨어는 오버헤드가 생성되고 무능한 접근 방식이므로 이를 수행하지 않습니다.
또한 악성코드에 C&C, DNS 비커닝 등이 추가되지 않아 로커고가의 의도는 염탐이 아니라 교란이라는 가정이다.
파일을 암호화한 후 LockerGoga는 .txt 파일에 다음 몸값을 남깁니다.
이 외에도 LockerGoga의 또 다른 흥미로운 점은 랜섬 노트에 Bitcoin 또는 Monero 지갑의 지갑 주소가 포함되어 있지 않다는 것입니다. 맬웨어 배포자에게 연락할 수 있는 두 개의 이메일 주소가 포함되어 있습니다. 또한, 몸값을 받을 확률을 높이기 위해 공격자는 소수의 암호화된 파일을 무료로 해독할 것을 제안합니다.
LockerGoga에 감염되었는지 어떻게 알 수 있습니까?
대상 파일이 암호화되고 ".locked" 파일 확장자가 파일 이름 끝에 추가되므로 감염된 것을 식별할 수 있습니다.
이러한 유형의 공격에서 무엇을 배울 수 있습니까?
무엇보다도 이러한 문제 해결 공격은 특정 세그먼트를 대상으로 하지 않습니다. 개인, 기업
또한 대가를 지불하는 것은 공격자가 보다 발전된 악성코드를 설계하는 데만 도움이 되기 때문에 몸값을 지불하는 것은 해결책이 아닙니다. 또한 그들이 돈을 받게 될 것임을 알고 범죄자가 공격하도록 부추길 것입니다.
파괴적인 랜섬웨어 공격의 예:
NotPetya 공격으로 공급망 회사에 100억 달러 피해
LockerGoga로부터 안전하게 지내는 방법
다음과 같은 특정 관행을 따르면 LockerGoga와 같은 랜섬웨어로부터 보안을 유지할 수 있습니다.
- 파일을 정기적으로 백업하고 작동하는 백업이 있는지 확인하십시오.
- 시스템, 보안 응용 프로그램 및 기타 소프트웨어를 항상 최신 상태로 유지하십시오. 또한 패치되지 않은 시스템 패치
- 민감한 데이터의 노출을 최소화하기 위해 데이터 분류 및 네트워크 세분화를 구현합니다.
- 진입점으로 사용할 수 있는 타사 구성 요소를 비활성화합니다.
- 시스템에서 원치 않는 변경을 방지하고 동작 모니터링 및 애플리케이션 제어와 같은 추가 보안 계층을 구현합니다.
- 직원들이 직장에서 보안을 구현하도록 교육합니다. 또한 피싱 및 사기 이메일을 식별하는 방법에 대해 알리십시오.
마무리:
데이터는 개인, 조직 및 공격자에게 소중한 자원입니다. 이미지든 기업 문서든 모두 가치가 있습니다. 그러므로 우리는 그것을 보호해야 합니다. 사이버 범죄자들은 그것을 훔치고 돈을 벌기 위해 주시합니다. 우리 쪽의 어리석은 실수는 심각한 피해로 이어질 수 있습니다.
지난 몇 년 동안 랜섬웨어 공격 빈도가 증가했으며 이는 수익 창출뿐만 아니라 네트워크 운영을 방해하고 흔적을 숨기는 데에도 사용됩니다. 새로운 변종인 LockerGoga는 정교함이 부족할 수 있지만 랜섬웨어가 조직이나 개인을 공격할 때 피해를 줄 수 있는 또 다른 예입니다. 그러므로 조심하고 안전을 유지하십시오. 랜섬웨어 공격으로부터 자신을 보호하려면 항상 중요한 데이터를 백업하고 시스템을 최신 상태로 유지하십시오.
기사가 마음에 드셨기를 바라며 최신 보안 뉴스를 계속 지켜봐 주시기 바랍니다. 종 모양 아이콘을 눌러 TweakLibrary를 구독하면 알림을 받고 계속 지켜봐 주시기 바랍니다. 아래 섹션에 의견을 남겨주세요.