랜섬웨어란 무엇입니까?

랜섬웨어는 사이버 범죄자가 정해진 몸값으로 데이터를 보관하기 위해 사용하는 악성 소프트웨어의 일종으로, 파일을 되찾으려면 비용을 지불해야 합니다. 이 소프트웨어는 일반적으로 데이터를 암호화하고 몸값이 지불된 후에만 암호 해독 키를 제공하는 방식으로 작동합니다. 랜섬웨어는 발견 이후 빠르게 성장하고 진화하는 사이버 공격으로 개인 사용자와 기업 모두를 감염시켰습니다. Statista는 2022년 상반기 동안 전 세계적으로 총 2억 3,610만 건의 랜섬웨어 공격이 발생했다고 보고했습니다.

또 다른 보고서에 따르면 2022년 한 해에만 전 세계 기업의 71%가 랜섬웨어의 영향을 받았으며, 랜섬웨어 공격 피해자 중 총 62.9%가 몸값을 지불한 것으로 추정됩니다. 그렇다면 이 사이버 위협에 대해 더 자세히 살펴보겠습니다.

What Is Ransomware?

랜섬웨어 공격은 어떻게 작동하나요?

주요 랜섬웨어 공격 활용

랜섬웨어 공격자는 대부분의 사이버 공간의 익명성과 동적 특성을 사용하여 일반적인 탄약을 수정하고 혁신합니다.

WannaCry 공격 - 2017년 5월

WannaCry 랜섬웨어는 2017년 5월 현장에 폭발적으로 등장하여 99개국에서 최소 75,000대의 컴퓨터를 감염시키고 병원과 기업에 영향을 미쳤습니다. 이 랜섬웨어는 Microsoft Windows를 운영 체제로 사용하는 컴퓨터를 대상으로 필수 데이터를 암호화한 후 그 대가로 비트코인 ​​형태로 지불금을 강탈했습니다. 랜섬웨어는 전 세계적으로 약 230,000대의 컴퓨터를 공격했습니다. 2018년에는 WannaCry 악성코드가 세계 최대의 계약 칩 제조업체인 Taiwan Semiconductor Manufacturing에도 영향을 미쳤습니다.

Acer 공격 - 2021년 3월

대만의 거대 컴퓨터 회사인 Acer는 2021년 3월 랜섬웨어 공격의 피해자였으며, 당시 랜섬웨어 공격으로 인해 미화 5천만 달러의 몸값이 요구되었습니다. 이는 당시 피해자 중 가장 큰 몸값 요청이었습니다. REvil 랜섬웨어 집단은 침해에 대한 공로를 인정하고 공격에 대한 책임을 주장하는 수단으로 회사에서 훔친 것으로 알려진 재무제표 및 기타 문서의 이미지를 공개했습니다.

Brenntag 공격 - 2021년 5월

독일 화학 유통업체인 Brenntag SE는 최근 회사에 대한 랜섬웨어 공격이 진행되는 동안 해커가 암호화한 파일에 대한 암호 해독기를 얻기 위해 5월 11일 DarkSide 랜섬웨어 갱단에 비트코인으로 440만 달러의 몸값을 지불한 것으로 알려졌습니다. 공격자는 네트워크의 장치를 암호화하고 공격 중에 150GB의 데이터를 훔쳤다고 주장했습니다. 이들은 촬영된 데이터에 대한 설명과 파일 스크린샷이 포함된 개인 데이터 유출 페이지를 만들어 이를 입증했습니다.

식민지 파이프라인 공격 – 2021년 5월

5월 초 Colonial Pipeline Company는 랜섬웨어 공격의 희생양이 되었다고 발표했습니다. 회사는 영향을 받은 IT 자산과 텍사스와 뉴욕 사이에서 매일 1억 갤런의 연료를 운송하는 주요 파이프라인을 중단했습니다. FBI는 Colonial Pipeline Company의 복구 노력을 지원하는 과정에서 DarkSide 랜섬웨어 갱단이 공격에 책임이 있음을 확인했습니다.

Accenture 공격 – 2021년 8월

글로벌 IT 컨설팅업체인 Accenture는 LockBit 랜섬웨어 운영자가 회사 시스템을 공격하는 동안 시스템에서 데이터를 훔쳤다는 사실을 확인했습니다. Bleeping Computer가 보고한 바와 같이 랜섬웨어 집단은 Accenture 네트워크에서 6테라바이트의 데이터를 훔쳤다고 주장하며 5천만 달러의 몸값을 요구했습니다. 지난 9월 회사는 네트워크를 손상시킬 수 있는 Accenture 고객의 자격 증명을 훔쳤다는 LockBit 갱단의 주장을 부인했습니다.

궁극적인 크로노스 그룹 공격 - 2021년 12월

최대 규모의 인적 자원 회사 중 하나는 2021년 12월 업계 전반에 걸쳐 여러 근로자의 급여 시스템에 영향을 미치는 심각한 랜섬웨어 공격을 공개했습니다. NBC 뉴스에 따르면 회사는 Whole Foods, Honda 및 지방 정부가 직원에게 급여를 지급하는 데 사용하는 프로그램을 포함하여 클라우드 서비스에 의존하는 프로그램을 몇 주 동안 사용할 수 없다고 밝혔습니다. 클리블랜드시는 성명을 통해 직원 이름, 주소, 주민등록번호 마지막 4자리 등 민감한 정보가 공격으로 인해 손상되었을 수 있다고 경고했습니다.

Nvidia 공격 - 2022년 2월

세계 최대 반도체 칩 회사인 Nvidia는 2022년 2월 사이버 공격으로 피해를 입었습니다. 캘리포니아에 본사를 둔 회사는 위협 행위자가 직원 자격 증명과 독점 정보를 온라인으로 유출하기 시작했다고 확인했습니다. 해킹 조직인 Lapsus$는 공격에 대한 책임을 지고 1TB의 중요한 회사 데이터에 액세스할 수 있다고 주장한 후 Nvidia에 100만 달러의 몸값과 불특정 수수료의 일정 비율을 요구했습니다. 지난 1월 Lapsus$는 포르투갈 최대 미디어 대기업인 Impresa에 대한 랜섬웨어 공격이 자신의 소행이라고 주장했습니다.

코스타리카 공격 - 2022년 4월

코스타리카 대통령은 올해 4월 콘티(Conti) 랜섬웨어 공격으로 국가가 혼란에 빠진 후 비상사태를 선포했다. 이 공격은 코로나19 테스트가 진행되는 동안 의료 시스템에 영향을 미쳤으며 국가에 지속적인 영향을 미칠 가능성이 높습니다.

닛케이 그룹 아시아 공격 - 2022년 5월

마지막으로 거대 미디어 기업인 Nikkei Group의 싱가포르 본사도 2022년 5월 랜섬웨어 공격의 피해자가 되었습니다. 내부 서버에 대한 무단 액세스가 발견되었고 회사는 고객 데이터가 영향을 받았을 가능성이 있다고 밝혔습니다. . 이는 직원이 BEC 사기를 통해 제3자에게 일정 금액을 이체하라는 사기성 지시를 받은 2019년 사건 이후에 발생했으며, 이로 인해 조직에 약 2,900만 달러의 손실이 발생했습니다.

이러한 공격의 대부분은 랜섬웨어 서비스 모델을 사용하는 경향이 있는 해킹 그룹에 의해 수행되었습니다. 이는 네트워크에 악성 코드를 쉽게 설치하고 실행할 수 있다는 점을 제외하면 서비스형 소프트웨어(Software-as-a-Service) 프레임워크와 유사합니다. 이 서비스 사용자는 운영자가 개발한 랜섬웨어를 실행하기 위해 비용을 지불합니다.

현재까지 알려진 랜섬웨어

대부분의 랜섬웨어 공격이 성공하려면 고급 형태의 랜섬웨어에 의존해야 합니다. Statista에 따르면 2021년에 새로 발견된 랜섬웨어 패밀리는 78개였습니다. 이는 이전 측정 기간에 발견된 새로 발견된 랜섬웨어 패밀리 127개에 비해 전년 대비 39% 감소한 수치입니다.

년도 발견된 새로운 랜섬웨어군 수
2015 29
2016 247
2017 327
2018 222
2019 95
2020 127
2021 78

Sourced from Statista

발견된 새로운 랜섬웨어의 추세는 최신 기술, 글로벌 시스템의 취약성, 당시 따르고 제정된 일반적인 사이버 보안 관행을 포함한 여러 요인에 따라 끊임없이 변동하고 있습니다.

이는 Microsoft Windows 운영 체제를 실행하는 컴퓨터를 대상으로 하는 악성 코드이며 일반적으로 이메일 첨부 파일로 확산됩니다. 피싱 사기에 자주 사용되는 악성코드입니다. CryptoLocker 랜섬웨어는 올해 9월 이탈리아 백신 시스템을 공격하는 데 사용되었습니다.

다단계 AI 분석 엔진을 갖춘 상포 Engine Zero는 CryptoLocker 변종을 탐지할 수 있으며 NGAF(차세대 방화벽) 및 엔드포인트 보안 플랫폼 모두에서 사용할 수 있습니다. Engine Zero는 NGAF 방화벽에서 이메일 첨부 파일에 포함될 수 있는 CryptoLocker 악성 코드 파일을 탐지하고 Endpoint Secure에서 사용되어 활성화되기 전에 엔드포인트에서 CryptoLocker 악성 코드 파일을 탐지하고 제거하는 데 사용됩니다.

Petya 랜섬웨어 변종은 2016년에 처음 발견되었으며 Microsoft Windows 기반 시스템을 표적으로 삼았습니다. 이 악성코드는 컴퓨터의 마스터 파일 테이블을 암호화하여 마스터 부트 레코드를 몸값 메모로 대체하고 몸값이 지불될 때까지 컴퓨터를 사용할 수 없도록 만듭니다. 나중에 안전 장치로 직접 파일 암호화 기능과 "NotPetya"라는 수정 버전을 포함하도록 발전했습니다. 이 악성코드는 서비스형 랜섬웨어(ransomware-as-a-service) 작업의 일부로 제공되는 최초의 랜섬웨어 변종 중 하나입니다.

이 새로운 악성 코드는 Conti 랜섬웨어를 기반으로 하며 처음에는 잠재적인 와이퍼 악성 코드로 여겨졌습니다. Bleeping Computer 에 따르면 오닉스 랜섬웨어는 2MB보다 큰 파일을 암호화하는 대신 파괴를 촉진하여 몸값을 지불하더라도 해당 파일의 암호가 해독되지 않도록 합니다. 악성 코드의 파괴적인 특성으로 인해 사이버 보안 전문가는 피해자가 제출된 몸값을 지불해서는 안 된다고 단호하게 주장합니다.

미국 사이버 보안 및 인프라 보안국(CSA)은 하이브 랜섬웨어에 대한 경고를 발표했습니다. FBI 정보에 따르면 이 랜섬웨어는 전 세계적으로 1,300개 이상의 회사를 피해를 입혔으며 2022년 11월 현재 약 1억 달러의 몸값을 받았습니다. 하이브 위협 행위자는 다음과 같은 방법으로 네트워크에 액세스합니다. 악성 첨부 파일이 포함된 피싱 이메일 또는 원격 네트워크 연결 프로토콜을 통한 단일 요소 로그인을 사용하는 경우.

Hive

미국 사이버 보안 및 인프라 보안국 페이지에서 출처

FBI에 따르면 하이브 랜섬웨어는 Delphi 기반 Vega 악성코드 계열에서 파생되었으며 RaaS(Ransomware as a Service)로 작동합니다. 위협 행위자들은 몸값을 비트코인으로 요구하며, 초기 금액은 수천 달러에서 백만 달러 이상입니다. 악성코드는 '.하이브'이라는 임시 폴더에 자신을 설치한 후 감염된 기기 암호화 파일 전체로 확산됩니다. 일단 확산되면 파일을 암호화하기 시작합니다. 그 후 피해자에게 공격을 당했으며 데이터를 반환하려면 몸값을 지불해야 한다는 메모가 메모장에 나타납니다.

CISA(사이버보안 및 인프라 보안국)는 RDP(원격 데스크톱 프로토콜)의 취약점을 이용해 네트워크에 액세스하는 이 랜섬웨어에 대한 또 다른 권고를 발표했습니다. 데이터를 암호화한 후 특정 비트코인 ​​지갑 주소에 대한 지불 내역이 포함된 암호화된 파일이 포함된 모든 폴더에 통신 지침과 함께 몸값 메모가 남습니다.

랜섬웨어는 네트워크에 침투하는 방식이 끊임없이 진화하고 발전하고 있습니다. 대기업이 침해를 당했을 때 개인이 아무것도 할 수 없는 것처럼 보일 수 있지만, 사람들은 랜섬웨어 공격의 다음 피해자가 되지 않도록 소규모로 적절한 사이버 보안 조치를 구현할 수 있습니다.

랜섬웨어 공격을 위한 상포 솔루션

상포 테크놀로지스는 집중적이고 진보된 랜섬웨어 방지 방지 및 최첨단 IT 인프라를 제공하는 세계적 수준의 사이버 보안 및 클라우드 컴퓨팅 회사입니다.

여러 고급 상포 제품을 하나로 묶은 이 통합 솔루션을 사용하면 랜섬웨어 탐지 및 방지가 그 어느 때보다 간단해졌습니다.

차세대 방화벽(NGFW)

상포의 랜섬웨어 솔루션은 모든 악성 위협을 근절하기 위해 엔드포인트 보안의 도움으로 전체 보안 네트워크를 포괄적이고 통합적으로 감시하고 보호하기 위해 고급 네트워크 보안 방화벽을 사용합니다.

Next-Generation Firewall (NGFW)

사이버 커맨드 NDR

상포의 획기적인 네트워크 탐지 및 대응 솔루션은 위협에 대한 자동화된 대응을 제공합니다. AI 및 머신 러닝 기술을 통해 회사는 잠재적인 위협이 시스템에 침투하기 전에 격리, 분석 및 제거할 수 있습니다.

Cyber Command NDR

상포 엔드포인트 보안

상포 엔드포인트 보안은 고급 랜섬웨어 허니팟 기술을 설치하여 큰 피해가 발생하기 전에 파일 암호화 프로세스를 신속하게 식별하고 종료하는 강력한 랜섬웨어 예방 솔루션입니다.

Sangfor Endpoint Secure