|
한국 IBM Security에서는 최신 보안 동향과 위협 등에 대한 정보를 뉴스레터로 보내 드립니다.
옆에 계신 동료분께 추천하고 싶다면? [뉴스레터 구독하기]를 클릭해 주세요.
[ 주요 기사 ]
보안 취약한 재택근무 해커들 주요 먹잇감됐다
미 보안업체 “북 해커, 합법 프로그램 이용해 기밀 빼내”
'공격측엔 신무기, 이용측엔 구멍'··· 드론이 기업 보안에 끼치는 영향
이란 해킹그룹, DoH를 정보유출 채널로 사용해 탐지 무력화시켜
구글, 2020년 8월 정기 안드로이드 패치 발표
마스크 사기·WHO 사칭…코로나發 피싱메일 하루 1600건
`확진자 동선` 문구에 혹해서 눌렀다간…
"블록체인 활용한 러시아 국민투표가 해킹됐다"
[차세대 보안 비전 설문조사] “클라우드 보안 투자 의지 높다”
[카드뉴스] ‘데이터3법’ 개인정보보호페어에서 마스터하기
[시큐리티] IT기술·보안능력 갖춘 신흥강자의 부각
‘현금 없는 사회(캐시리스 사회)'가 이상적이지 않은 이유 4가지
한국IBM, ‘IBM 클라우더스(IBM C:LOUDERs)’ 실시
Sensitive credentials of 900 enterprises leaked on hacking forum
▶ 지난 기사보기: https://blog.naver.com/ksbebob_769
[ Threat Intelligence: IBM X-Force Exchange Advisory ]
FBI Notes Rise In Online Shopping Scams
The FBI has received complaints of an increasing number of online shopping scams by cybercriminals. The complaints focus on non-delivery of purchased items offering low prices. The ads for the undelivered equipment originated from social media or during searches for specific items.
[ IBM Korea 주요행사 및 이벤트 ]
IBM 클라우드, 코로나 바이러스 대응을 위한 3개월 무료 서비스 제공
[ Talk & Talk ] 2020년 랜섬웨어 공격을 통해 알아본 6가지 특성 (1/2)
랜섬웨어 공격은 불법적으로 기업의 네트워크에 침입하여 데이터를 암호화하고, 이를 볼모로 금전적인 이득을 취할 목적으로 수행하고 있으며, 이로 인한 기업의 데이터 손실 및 유실 뿐만 아니라 금전적으로도 상당히 심각한 피해를 주고 있습니다.
미국의 디지털 보안 및 데이터복구 회사인 Datto는 랜섬웨어로 인해 발생한 서비스 정지 등에 따른 기업의 피해는 년간 7천5백억달러(약 8조9천억원)에 달한다고 합니다. 그 외의 자료에 따르면, 랜섬웨어로 인해 기업은 시간당 평균 8천 5백달러의 손실(Govtech 조사결과)과, 크립토 멀웨어 사고당 65.645백달러의 비용손실이 발생한다(Coveware조사결과)고 이야기 하고 있습니다. 최근 스마트 기기 제조사인 가민은 랜섬웨어 공격을 당했으며, 8월 5일, 데이터 복구조건으로 해커에게 1천만 달러를 지불했다고 밝혔습니다.
랜섬웨어 공격은 새로운 상품개발을 저해하고 금전적인 피해로 인해 기업운영에 막대한 차질을 가져오고 있습니다. 따라서, 기업은 이러한 랜섬웨어 공격을 잘 이해하고 대응할 필요가 있습니다. 우선적으로 최근에 발생한 랜섬웨어 공격을 통해 변화된 공격패턴을 이해하는 것이 중요합니다. 여기서는 2020년에 발생한 랜섬웨어 공격을 통해 6가지 주요 공격특성에 대해 살펴보고, 대응방안에 대해 알아 보고자 합니다.
1. 데이터 탈취 및 공개 협박
최근 몇 년까지만 해도 데이터 백업은 랜섬웨어 공격자의 데이터 랜섬을 묵살하고, 추가 비용없이 데이터를 복구함으로써 빠르게 서비스를 정상화하는 랜섬웨어 공격 대응기법 중 하나였습니다. 하지만, 최근에 와서는 데이터백업만으로는 랜섬웨어에 대한 공격에 대응할 수 없는 사건들이 발생하고 있습니다.
2019년 11월, 컴퓨터 장애를 해결해주는 Bleeping Computer의 웹사이트에 2십만명 이상의 직원을 보유한 보안인력회사의 네트워크에 Maze 랜섬웨어 공격이 발생했다는 글이 올라왔습니다. 공격자는 해당회사의 데이터를 암호화하기전에 외부 서버에 복사하고, 돈을 지불하지 않으면 데이터를 온라인에 공개하겠다고 협박하였습니다. 이러한 공격수법은 기존의 데이터 백업을 통한 복구를 무색하게 하였습니다.
이후 다른 랜섬웨어 역시 데이터 백업을 우회하고 랜섬을 거부하는 희생자를 협박하는 방식으로 진화를 해오고 있습니다. 이들 멀웨어 갱단들은 Maze의 데이터 유출과 데이터 공개 협박이라는 방식을 따랐으며, 올해 3월과 4월에 미국의 제조사와 헬스케어 회사를 공격할 때 이와 같은 수법을 사용했습니다.
2. 서로 다른 랜섬웨어와의 협업 증가
Maze는 암호화 멀웨어를 통해 이익을 극대화했다고 할 수 있을 정도는 아니었습니다. 랜섬웨어 군들은 몇몇의 변종들이 컴플라이언스를 준수하지 않는 기업의 데이터를 유출하고 위협하는 방식으로 진화했습니다. 2020년 6월 초 Bleeping Computer에 따르면, 보안회사인 KeLa는 한 건축회사의 데이터가 ”Maze News” 데이터 유출 웹사이트에 추가된 것을 발견하였으며, 훔친 데이터는 Maze의 공격에 의한 것이 아닌, LockBit RaaS (Ransomware-as-a-service) 플랫폼에 의해 감염된 데이터라고 전했습니다. 공격자들은 데이터 유출 플랫폼을 공유하고 덜 완성된 랜섬웨어 실행자들의 경험을 얻기 위해 LockBit와의 협업을 결정했다고 밝혔습니다.
3. 다른 유형의 멀웨어와 공조
랜섬웨어와 다른 형태의 멀웨어간의 공조는 탐지를 더욱 어렵게 하고 공격의 성공률을 높이게 됩니다. 이러한 공격형태는 2020년 상반기에 나타났습니다. 지난 3월, Bleeping Computer는 윈도우 시스템 성능향상 유틸리티를 다운받을 수 있는 포털을 통해 멀웨어가 유포되고 있음을 발견하였습니다. 일단 프로그램을 다운받으면 ”file2.exe” 파일과 함께 데이터를 암호화하는 ”coronavirus ransomware” 파일이 자동으로 다운로드 됩니다. 이 멀웨어는 ”file1.exe”파일과 함께 패스워드 유출 멀웨어를 배포하는 Kpot이라는 멀웨어에 랜섬웨어 멀웨어를 추가한 것으로, 감염된 컴퓨터로 부터 데이터를 훔친 후, 공격자가 미리 장악한 서버에 데이터를 전송합니다.
2020년 5월, 보안솔루션 회사인 Group-IB는 PwndLocker랜섬웨어군의 후속 버전인 ProLock를 발견하였습니다. 이 공격은 두 종류의 초기 접근 벡터 중 한나를 선택하고, 공격 대상의 RDP(Remote Desktop Protocol) 서버에 접근하기 위해 약한 인증정보를 공격하였습니다. 어떤 경우에는 Qakbot를 문서에 심어 보내기도 했으며, 이후 프로세스 인젝션 기술을 실행하거나 .BMP 또는 .JPG파일에 숨겨진 ProLock 페이로드를 불러오기 위해 explorer.exe를 사용하는 등 다양한 전술을 시도했습니다.
※ 원문: 6 Ransomware Trends You Should Watch for in 2020
|
