랜섬웨어란?

우리가 많이 듣고 읽었던 용어, 특히 지난 2년 동안 일부 조직이 랜섬웨어 공격 등의 피해자가 된 부정적인 맥락에서 이 전문 용어를 접했습니다.

랜섬웨어는 데이터를 제한하거나 공개 포럼에 게시하여 잠재적인 비즈니스 위험을 유발하는 잠재적인 위협인 악성 소프트웨어(매우 자주 사용되는 또 다른 전문 용어)라고도 하는 일종의 악성 소프트웨어입니다. 이것은 일반적으로 피해자가 데이터를 공개하기 위해 공격자에게 몸값을 지불해야 하는 데이터를 암호화하여 수행됩니다. 일반적으로 이러한 경우 피해자가 몸값을 지불해야 하는 기한이 있습니다. 피해자가 기한을 지키지 못하면 공격자는 데이터를 지울 것입니다. 최상의 시나리오에서 공격자는 수정된 기한으로 몸값을 높일 것입니다.

맬웨어 공격은 요즘 매우 일반적이며 북미와 유럽의 많은 조직이 이러한 공격의 희생자가 되는 것을 보았습니다. 이러한 사이버 공격자는 산업 분야 전반에 걸쳐 고객 또는 조직을 공격할 수 있으므로 정해진 기준이 없습니다.

FBI와 일부 정부와 같은 많은 기관은 그러한 몸값 지불을 자제합니다. 실제로 사이버 공격자에게 몸값을 제공하지 않는다는 목적을 위해 일하는 비영리 단체인 No Ransom Project라는 특별한 프로젝트가 있습니다. 또한, 몸값을 지불한 피해자들은 반복적으로 랜섬웨어 공격을 받는 것으로 관찰되었습니다.

랜섬웨어 공격의 배경

랜섬웨어 공격의 역사를 살펴보면, 1989년 사이버 공격자들이 '에이즈 바이러스'를 이용해 피해자들의 자금을 갈취하던 때로 거슬러 올라간다. 이 공격에 대한 지불이 (우편을 통해) 파나마에 공개되면 암호 해독 키도 메일을 통해 공개되었습니다.

1996년에 Columbia 대학의 두 개인 Moti Yung과 Adam Young은 랜섬웨어의 정의를 도입하고 "암호화 바이러스 갈취"라는 용어를 만들었습니다. 이 두 학자는 1996년 보안 및 개인 정보 보호 회의인 IEEE 회의에서 첫 번째 암호 바이러스 공격을 발표했습니다.

일정 기간 동안 우리는 사이버 공격 및 랜섬웨어 공격 분야에서 혁신을 목격했습니다. 사이버 공격자들은 실제로 추적이 불가능한 몸값 지불을 요구함으로써 창의적이 되었습니다. 이러한 방식으로 이러한 사이버 범죄자는 위치의 익명성을 유지합니다. 비트코인과 같은 암호화폐 사용이 급증하면서 랜섬웨어 공격도 크게 증가했습니다.

패턴을 보면 랜섬웨어 공격은 모든 산업을 희생시켰으며 가장 유명한 공격은 Presbyterian Memorial Hospital에 대한 공격입니다. 실험실, 약국, 응급실이 모두 피해를 입은 대규모 공격이었습니다.

랜섬웨어는 어떻게 작동합니까?

앞서 언급했듯이 랜섬웨어는 데이터를 암호화하고 해당 데이터에 대한 액세스를 차단하여 조직에서 돈을 갈취하기 위해 생성되는 악성 코드 유형입니다. 우리는 주로 두 가지 유형의 랜섬웨어를 봅니다. 한 세트는 암호화기로 알려져 있고 다른 세트는 화면 로커로 알려져 있습니다. 이름이 자명하기 때문에 암호화자는 데이터를 암호화하여 암호 해독 키 없이 중복되게 만듭니다. 그러나 화면 잠금 장치는 "잠금 화면"을 배포하여 시스템에 대한 액세스를 차단할 뿐입니다.

이 시나리오에서 피해자는 일반적으로 몸값을 지불하기 위해 비트코인과 같은 암호화폐를 구매하라는 메시지가 있는 잠금 화면을 보게 됩니다. 몸값이 지불되는 즉시 조직은 암호 해독 키를 받은 다음 파일 암호 해독을 시도할 수 있습니다. 그러나 이러한 사이버 공격자가 따르는 규칙이나 윤리는 없습니다. 몸값이 지불된 후에도 피해자가 암호 해독 키를 받지 못하는 경우가 있습니다. 설상가상으로 몸값이 지불된 후에도 멀웨어가 계속 설치됩니다.

일반적으로 이러한 엔터프라이즈 맬웨어 공격은 의심스러운 이메일로 시작됩니다. 사용자는 아무 것도 의심하지 않고 해당 이메일을 열 수 있으며 이는 웜 캔을 열 수 있습니다.

누가 위험에 처해 있습니까?

랜섬웨어에 대해 이야기할 때 인터넷에 연결된 모든 가제트 또는 장치는 맬웨어 공격의 희생자가 될 잠재적 위험이 있습니다. 랜섬웨어는 일반적으로 로컬 장치와 네트워크에 연결된 모든 장치를 확인하므로 조직의 로컬 네트워크도 피해자가 될 위험이 있습니다.

따라서 장치가 인터넷에 연결되어 있는 경우 이러한 사이버 공격자의 악의적인 침입을 방지하기 위해 최신 보안 업데이트와 엔드포인트 보안 시스템을 갖추는 것이 조직의 전제 조건이 됩니다.

랜섬웨어가 비즈니스에 미치는 영향?

랜섬웨어의 피해를 입은 모든 기업은 수백만 달러에 달하는 손실을 입게 될 것이라는 불문율입니다. 그 이상으로 새로운 사업의 상실이라는 파급효과를 낳는다. 비즈니스가 복구되더라도 직원들은 손실된 데이터를 구축하는 데 많은 시간을 소비해야 하므로 수천 시간의 생산성 손실이 발생합니다. 모든 맬웨어 공격이 수행하는 첫 번째 작업 중 하나는 조직의 생산성을 중지하는 것입니다. 따라서 조직이 첫 번째 작업으로 봉쇄를 수행하는 것이 적절합니다. 근본 원인 분석을 수행하면 취약점을 식별하는 데 도움이 되지만 지연이 발생하면 생산성과 수익에 심각한 영향을 미칩니다.

랜섬웨어의 예

랜섬웨어 사례는 모든 기업이 참조할 수 있을 만큼 많지만 눈에 띄는 몇 가지 중요한 사례가 있습니다. 이는 조직이 이러한 랜섬웨어 공격을 피할 수 있는 기반을 마련하는 데 도움이 될 수 있습니다. 몇 가지 예를 살펴보겠습니다.

WannaCry – 이러한 사이버 공격자가 250,000개 이상의 시스템을 감염시키기 위해 악용한 것은 Microsoft의 취약성을 둘러싼 강력한 바이러스였습니다. 그러나 더 많은 시스템으로 확산되기 전에 이를 중지하기 위해 킬 스위치가 트립되었습니다. Proofpoint – 보안 및 개인 정보 보호 분야의 이름으로 랜섬웨어의 세부 정보를 얻기 위해 배포되었습니다.

BadRabbit – 이것은 가시적인 랜섬웨어로 간주되었으며 주요 목표는 러시아와 우크라이나 지역의 미디어 회사였습니다. 몸값이 지불되자마자 BadRabbit은 해독 코드를 제공했습니다. 가짜 Flash Player를 통해 바이러스가 전파된 것으로 의심됩니다.

NotPetya – BadRabbit의 형이라고 하는 NotPetya는 가장 파괴적인 맬웨어 공격 중 하나였습니다. WannaCry와 같은 취약점을 악용하여 빠르게 확산되기 시작했습니다. 비트코인으로 몸값을 요구했지만 NotPetya는 마스터 부트 레코드에 대한 변경 사항을 취소할 수 없었습니다.

다음은 상위 맬웨어 예 중 일부입니다. CryptoLocker, REvil, Ryuk 등과 같은 다른 것들이 있습니다.

마지막 생각들

랜섬웨어는 사라지지 않습니다. 악의를 가진 사람들이 있는 한 우리는 이 분야에서 지속적으로 혁신을 보게 될 것입니다. 이것은 매일 약 4000건의 랜섬웨어 공격이 발생한다고 FBI 통계에서 분명합니다. 랜섬웨어와 바이러스는 다른 유형의 맬웨어이지만 랜섬웨어는 바이러스처럼 복제하지 않기 때문에 본질적으로 바이러스가 아닙니다.

조직이 이러한 랜섬웨어 공격으로부터 스스로를 보호할 수 있는 유일한 방법은 보안 시스템을 계속 혁신하고 악성 이메일 및 기타 소스를 포함한 잠재적인 랜섬웨어 위협에 대해 사용자를 교육하는 것입니다.