랜섬웨어는 인터넷에서 전혀 새로운 위협이 아닙니다. 그 뿌리는 수년 전으로 거슬러 올라갑니다. 이 위협은 시간이 지남에 따라 더욱 위험하고 무자비해졌습니다.
"랜섬웨어"라는 단어는 최근 몇 년 동안 많은 기업을 사용할 수 없게 만든 사이버 공격의 폭격의 결과로 널리 인식되었습니다.
PC의 모든 파일이 다운로드되고 암호화된 후 화면이 검게 변하고 어색한 영어로 된 메시지가 나타납니다.
Y암호 해독 키를 얻거나 민감한 데이터가 다크 웹에 공개되는 것을 방지하려면 비트코인 또는 기타 추적할 수 없는 암호 화폐로 검은 모자 사이버 범죄자에게 몸값을 지불해야 합니다.
그러나 이러한 유형의 공격(또는 RaaS)을 수행할 수 있는 잘 조직된 지하 비즈니스 모델인 서비스형 랜섬웨어에 대해 아는 사람은 거의 없습니다.
랜섬웨어 제작자는 직접 공격을 수행하는 대신 값비싼 바이러스를 랜섬웨어 작업 수행과 관련된 위험을 감수할 준비가 된 경험이 적은 사이버 범죄자에게 대여합니다.
그래도 어떻게 작동합니까? 누가 계층 구조를 이끌고 누가 중개자 역할을 합니까? 그리고 아마도 더 결정적으로, 어떻게 이러한 치명적인 공격으로부터 비즈니스와 자신을 방어할 수 있습니까?
RaaS에 대해 자세히 알아보려면 계속 읽으십시오.
RaaS(Ransomware as a Service)란 무엇입니까?
RaaS(Ransomware-as-a-Service)는 누구나 랜섬웨어 공격을 시작하기 위한 도구에 가입하고 활용할 수 있는 범죄 기업 비즈니스 모델입니다.
SaaS(Software-as-a-Service) 또는 PaaS(Platform-as-a-Service)와 같은 다른 서비스형 모델을 사용하는 사용자와 마찬가지로 RaaS 사용자는 랜섬웨어 서비스를 소유하지 않고 임대합니다.
이는 범죄자들이 다크 웹에서 랜섬웨어 소프트웨어를 구매하고 코딩 방법을 몰라도 랜섬웨어 공격을 수행할 수 있도록 하는 로우 코드, SaaS(Software-as-a-Service) 공격 벡터입니다.
이메일 피싱 체계는 RaaS 취약점에 대한 일반적인 공격 벡터입니다.
피해자가 공격자의 이메일에 있는 악성 링크를 클릭하면 랜섬웨어가 다운로드되어 영향을 받는 시스템 전체에 확산되어 방화벽과 바이러스 백신 소프트웨어가 비활성화됩니다.
RaaS 소프트웨어는 피해자의 경계 방어선이 뚫리면 권한을 높이는 방법을 찾아 결국 도달할 수 없는 지점까지 파일을 암호화하여 전체 조직을 인질로 잡을 수 있습니다.
피해자가 공격에 대해 알게 되면 프로그램은 몸값을 지불하는 방법과 (이상적으로는) 암호 해독을 위한 올바른 암호화 키를 얻는 방법에 대한 지침을 제공합니다.
RaaS 및 랜섬웨어 취약점은 불법이지만 이러한 종류의 공격을 수행하는 범죄자는 Tor 브라우저(양파 라우터라고도 함)를 사용하여 피해자에 액세스하고 비트코인 몸값 지불을 요구하기 때문에 특히 체포하기 어려울 수 있습니다.
FBI는 점점 더 많은 맬웨어 제작자가 강탈 수익금을 삭감하는 대가로 유해한 LCNC(로우 코드/노 코드) 프로그램을 유포하고 있다고 주장합니다.
RaaS 모델은 어떻게 작동합니까?
개발자와 제휴사는 효과적인 RaaS 공격을 수행하기 위해 협력합니다. 개발자는 전문 랜섬웨어 악성코드 작성을 담당하며, 이후 계열사에 판매됩니다.
공격 시작을 위한 랜섬웨어 코드와 지침은 개발자가 제공합니다. RaaS는 사용이 간편하고 기술 지식이 거의 필요하지 않습니다.
다크 웹에 액세스할 수 있는 사람은 누구나 한 번의 클릭으로 포털에 들어가 제휴사로 가입하고 공격을 시작할 수 있습니다. 계열사는 배포하려는 바이러스 종류를 선택하고 암호화폐(일반적으로 비트코인)를 사용하여 결제를 시작합니다.
몸값을 지불하고 공격에 성공하면 개발자와 제휴사는 수익을 나눕니다. 수익 모델의 유형에 따라 자금이 할당되는 방식이 결정됩니다.
이러한 불법 사업 전략 중 몇 가지를 살펴보겠습니다.
RaaS 제휴
랜섬웨어 그룹의 브랜드 인지도, 캠페인의 성공률, 제공되는 서비스의 수준과 다양성 등 다양한 요인으로 인해 지하 제휴 프로그램은 가장 잘 알려진 RaaS 형태 중 하나가 되었습니다.
범죄 조직은 조직 내에서 랜섬웨어 코드를 유지하기 위해 스스로 비즈니스 네트워크에 침입할 수 있는 해커를 찾는 경우가 많습니다. 그런 다음 바이러스와 지원을 활용하여 공격을 시작합니다.
그러나 이러한 기준을 충족하기 위해 다크 웹에서 기업 네트워크 액세스 판매가 최근 증가한 것을 감안할 때 해커에게는 이것이 필요하지 않을 수도 있습니다.
잘 지원되고 경험이 적은 해커는 랜섬웨어 코드를 사용하기 위해 월별 또는 연간 요금을 지불하는 대신 이익 공유를 대가로 고위험 공격을 시작합니다(그러나 때때로 제휴사는 플레이하려면 비용을 지불해야 할 수 있습니다).
대부분의 경우 랜섬웨어 갱단은 회사 네트워크에 침입할 수 있을 만큼 숙련되고 공습을 수행할 만큼 용감한 해커를 찾습니다.
이 시스템에서 제휴사는 종종 몸값의 60%에서 70% 사이를 받고 나머지 30%에서 40%는 RaaS 운영자에게 전송됩니다.
구독 기반 RaaS
이 전술에서 사기꾼은 랜섬웨어, 기술 지원 및 바이러스 업데이트에 액세스하기 위해 정기적으로 회비를 지불합니다. Netflix, Spotify 또는 Microsoft Office 365와 같은 많은 웹 기반 구독 서비스 모델이 이와 비슷합니다.
일반적으로 랜섬웨어 범죄자는 RaaS 공급업체에 따라 매월 $100에서 수백 달러의 비용이 들 수 있는 서비스 비용을 선불로 지불하는 경우 몸값 지불로 인한 수익의 50%를 스스로 가져갑니다.
이러한 멤버십 비용은 약 $220,000의 일반적인 몸값 지불과 비교할 때 약간의 투자를 나타냅니다. 물론 제휴 프로그램은 유료 플레이, 구독 기반 요소를 계획에 통합할 수도 있습니다.
평생 허가
맬웨어 제작자는 일회성 지불을 위해 패키지를 제공하기로 결정할 수 있으며 구독 및 이익 공유를 통해 반복적으로 돈을 버는 대신 사이버 공격에 직접 관여할 기회를 피할 수 있습니다.
이 경우 사이버 범죄자는 일회성 요금을 지불하고 랜섬웨어 키트에 평생 액세스할 수 있으며 적절하다고 생각하는 모든 방식으로 사용할 수 있습니다.
일부 하위 수준의 사이버 범죄자는 운영자가 체포될 경우 RaaS 운영자에 연결하기가 더 어렵기 때문에 훨씬 더 비싸더라도(정교한 키트의 경우 수만 달러) 일회성 구매를 선택할 수 있습니다.
RaaS 파트너십
랜섬웨어를 사용하는 사이버 공격에는 관련된 각 해커가 고유한 능력을 가지고 있어야 합니다.
이 시나리오에서는 그룹이 함께 모여 작업에 다양한 기여를 합니다. 시작하려면 랜섬웨어 코드 개발자, 기업 네트워크 해커 및 영어를 구사하는 랜섬 협상가가 필요합니다.
캠페인에서의 역할과 중요성에 따라 각 참가자 또는 파트너는 수입을 나누는 데 동의합니다.
RaaS 공격을 탐지하는 방법은 무엇입니까?
일반적으로 100% 효과적인 랜섬웨어 공격 보호는 없습니다. 그러나 피싱 이메일은 랜섬웨어 공격을 수행하는 데 사용되는 주요 방법으로 남아 있습니다.
따라서 회사는 직원이 피싱 이메일을 식별하는 방법을 최대한 이해할 수 있도록 피싱 인식 교육을 제공해야 합니다.
기술적인 수준에서 기업에는 위협 사냥을 담당하는 전문 사이버 보안 팀이 있을 수 있습니다. 위협 사냥은 랜섬웨어 공격을 감지하고 방지하는 매우 성공적인 방법입니다.
이 과정에서 공격 벡터에 대한 정보를 이용하여 이론이 만들어집니다. 직감과 데이터는 공격의 원인을 신속하게 파악하고 중지할 수 있는 프로그램을 만드는 데 도움이 됩니다.
네트워크에서 예기치 않은 파일 실행, 의심스러운 동작 등을 감시하기 위해 위협 헌팅 도구가 사용됩니다. 랜섬웨어 공격 시도를 식별하기 위해 IOC(Indicator of Compromise) 감시를 사용합니다.
또한 많은 상황별 위협 사냥 모델이 사용되며, 각 모델은 대상 조직의 산업에 맞게 조정됩니다.
RaaS의 예
랜섬웨어 작성자는 RaaS 비즈니스를 구축하는 것이 얼마나 수익성이 있는지 이제 막 깨달았습니다. 또한 거의 모든 비즈니스에 랜섬웨어를 전파하기 위해 RaaS 운영을 구축하는 여러 위협 행위자 조직이 있습니다. 다음은 몇 가지 RaaS 조직입니다.
- 어두운면: 가장 악명 높은 RaaS 공급자 중 하나입니다. 보고서에 따르면 이 갱단은 2021년 2020월 콜로니얼 파이프라인 공격의 배후에 있었습니다. DarkSide는 2021년 XNUMX월에 시작되어 XNUMX년 첫 몇 달 동안 활동이 정점에 달한 것으로 추정됩니다.
- 달마: Dharma 랜섬웨어는 원래 CrySis라는 이름으로 2016년에 등장했습니다. 수년 동안 Dharma 랜섬웨어 변종이 여러 번 있었지만 Dharma는 2020년에 RaaS 형식으로 처음 등장했습니다.
- 미로: 다른 많은 RaaS 제공업체와 마찬가지로 Maze는 2019년에 데뷔했습니다. 사용자 데이터를 암호화하는 것 외에도 RaaS 조직은 피해자에게 굴욕감을 주기 위해 데이터를 공개하겠다고 위협했습니다. Maze RaaS는 2020년 XNUMX월에 공식적으로 종료되었지만 그 이유는 아직 다소 모호합니다. 그러나 일부 학자들은 동일한 범죄자가 Egregor와 같은 다양한 이름으로 지속되었다고 믿습니다.
- DoppelPaymer: 2020년 한 환자의 목숨을 앗아간 독일의 한 병원을 상대로 한 사건을 포함하여 여러 사건과 관련이 있습니다.
- Ryuk: RaaS는 2019년에 더 활성화되었지만 적어도 2017년에는 존재한 것으로 여겨집니다. CrowdStrike 및 FireEye를 비롯한 많은 보안 회사는 해당 장비가 북한에 있다는 특정 연구원의 주장을 부인했습니다.
- 락비트: 파일 확장자로 조직은 2019년 XNUMX월에 처음 등장한 피해자 파일인 ".abcd 바이러스"를 암호화하는 데 사용합니다. 대상 네트워크에 자동으로 확산되는 LockBit의 기능은 LockBit의 기능 중 하나입니다. 잠재적인 공격자에게는 바람직한 RaaS가 됩니다.
- 리빌: 여러 RaaS 제공업체가 있지만 2021년에는 가장 많았습니다. 2021년 1,500월에 발생하여 최소 2021개 기업에 영향을 미친 Kaseya 공격은 REvil RaaS와 연결되었습니다. 이 조직은 또한 고기 제조업체 JBS USA에 대한 11년 2021월 공격의 배후에 있었던 것으로 생각되며 피해자는 XNUMX만 달러의 몸값을 지불해야 했습니다. 또한 XNUMX년 XNUMX월 사이버 보험사 CNA 파이낸셜에 대한 랜섬웨어 공격에 대한 책임이 있는 것으로 밝혀졌습니다.
RaaS 공격을 방지하는 방법은 무엇입니까?
RaaS 해커는 맬웨어를 배포하기 위해 전문적으로 만들어진 것처럼 보이는 정교한 스피어 피싱 이메일을 가장 자주 사용합니다. RaaS 악용으로부터 보호하려면 최종 사용자를 위한 지속적인 보안 인식 교육을 지원하는 견고한 위험 관리 접근 방식이 필요합니다.
첫 번째이자 최선의 보호는 가장 최근의 피싱 기술과 랜섬웨어 공격이 재정 및 평판에 미치는 위험에 대해 최종 사용자에게 알리는 비즈니스 문화를 만드는 것입니다. 이와 관련된 이니셔티브에는 다음이 포함됩니다.
- 소프트웨어 업그레이드: 운영 체제 및 앱은 랜섬웨어에 자주 악용됩니다. 랜섬웨어 공격을 막으려면 패치 및 업데이트가 출시될 때 소프트웨어를 업데이트하는 것이 중요합니다.
- 데이터 백업 및 복원에 주의하십시오.: 데이터 백업 및 복구 전략을 수립하는 것이 첫 번째이자 가장 중요한 단계입니다. 랜섬웨어로 암호화한 후에는 사용자가 데이터를 사용할 수 없게 됩니다. 회사에 복구 절차에 사용할 수 있는 현재 백업이 있는 경우 공격자에 의한 데이터 암호화의 영향을 줄일 수 있습니다.
- 피싱 방지: 이메일을 통한 피싱은 랜섬웨어의 대표적인 공격 수법이다. 일종의 피싱 방지 이메일 보호 기능이 있으면 RaaS 공격을 방지할 수 있습니다.
- 다중 요소 인증: 일부 랜섬웨어 공격자는 한 사이트에서 다른 사이트의 훔친 암호를 사용하는 크리덴셜 스터핑을 활용합니다. 액세스하려면 두 번째 요소가 여전히 필요하기 때문에 다중 요소 인증은 남용되는 단일 암호의 영향을 줄입니다.
- XDR 엔드포인트 보안: XDR과 같은 엔드포인트 보안 및 위협 추적 기술은 랜섬웨어에 대한 추가적인 중요한 방어 계층을 제공합니다. 이는 랜섬웨어의 위험을 줄이는 데 도움이 되는 향상된 탐지 및 대응 기능을 제공합니다.
- DNS 제한: 랜섬웨어는 RaaS 운영자의 플랫폼과 인터페이스하기 위해 일종의 명령 및 제어(C2) 서버를 자주 사용합니다. DNS 쿼리는 거의 항상 감염된 컴퓨터에서 C2 서버로의 통신에 관여합니다. 조직은 랜섬웨어가 RaaS C2와 상호 작용을 시도할 때를 인식하고 DNS 필터링 보안 솔루션의 도움으로 통신을 차단할 수 있습니다. 이것은 감염 예방의 한 유형으로 작용할 수 있습니다.
RaaS의 미래
RaaS 공격은 앞으로 해커들 사이에서 더 널리 퍼지고 인기를 얻게 될 것입니다. 최근 보고서에 따르면 지난 60개월 동안 발생한 모든 사이버 공격의 18% 이상이 RaaS 기반이었습니다.
RaaS는 사용이 간편하고 기술적 지식이 필요하지 않기 때문에 점점 더 대중화되고 있습니다. 또한 중요한 인프라를 대상으로 하는 RaaS 공격의 증가에 대비해야 합니다.
여기에는 의료, 행정, 운송 및 에너지 분야가 포함됩니다. 해커는 이러한 중요한 산업 및 기관을 그 어느 때보다 더 많이 노출되어 병원 및 발전소와 같은 기업을 RaaS 공격의 대상으로 간주합니다. 공급망 문제는 2022년까지 계속됩니다.
결론
결론적으로 RaaS(Ransomware-as-a-Service)가 생성되고 디지털 사용자를 잡아먹는 가장 최근의 위험 중 하나이더라도 이 위협에 대처하기 위해 특정 예방 조치를 취하는 것이 중요합니다.
다른 기본적인 보안 조치 외에도 최첨단 맬웨어 방지 도구를 사용하여 이 위협으로부터 추가로 보호할 수 있습니다. 유감스럽게도 RaaS는 당분간 유지될 것으로 보입니다.
성공적인 RaaS 공격의 가능성을 줄이기 위해 RaaS 공격으로부터 보호하기 위한 포괄적인 기술 및 사이버 보안 계획이 필요합니다.
댓글을 남겨주세요.