랜섬웨어란 무엇인가요?

랜섬웨어는 사용자 또는 조직이 컴퓨터의 파일에 액세스하는 것을 거부하도록 설계된 멀웨어입니다. 사이버 공격자는 이러한 파일을 암호화하고 암호 해독 키에 대한 몸값 지불을 요구함으로써 조직을 몸값을 지불하는 것이 파일에 대한 액세스 권한을 다시 얻는 가장 쉽고 저렴한 방법인 위치에 놓이게 합니다. 일부 변종은 랜섬웨어 피해자가 몸값을 지불할 수 있는 추가 인센티브를 제공하기 위해 데이터 도난과 같은 추가 기능을 추가했습니다.

랜섬웨어는 빠르게 가장 많이 되었습니다. 두드러진 그리고 눈에 보이는 유형의 멀웨어. 최근의 랜섬웨어 공격은 중요한 서비스를 제공하는 병원의 능력에 영향을 미치고 도시의 공공 서비스를 마비시켰으며 다양한 조직에 심각한 피해를 입혔습니다.

Ransomware Prevention CISO Guide 전문가와 상담하기

랜섬웨어 공격 – 무엇이며 어떻게 작동합니까?

랜섬웨어 공격이 등장하는 이유는 무엇입니까?

현대의 랜섬웨어 열풍은 2017년 워너크라이(WannaCry) 사태와 함께 시작되었습니다. 널리 알려진 이 대규모 공격은 랜섬웨어 공격이 가능하고 잠재적으로 수익성이 있음을 보여주었습니다. 그 이후로 수십 개의 랜섬웨어 변종이 개발되어 다양한 공격에 사용되었습니다.

The COVID-19 pandemic also contributed to the recent surge in ransomware. As organizations rapidly pivoted to remote work, gaps were created in their cyber defenses. Cybercriminals have exploited these vulnerabilities to deliver ransomware, resulting in a surge of ransomware attacks.

In an age dominated by digital risks, a staggering 71% of companies have encountered ransomware attacks, resulting in an average financial loss of $4.35 million per incident.

In the year 2023 alone, attempted ransomware attacks have targeted 10% of organizations globally. This marks a notable rise from the 7% of organizations facing similar threats in the previous year, representing the highest rate recorded in recent years.

랜섬웨어의 작동 방식

랜섬웨어가 성공하려면 대상 시스템에 대한 액세스 권한을 얻고 파일을 암호화하고 피해자에게 몸값을 요구해야 합니다.
구현 세부 사항은 랜섬웨어 변종마다 다르지만 모두 동일한 핵심 세 단계를 공유합니다

  • 1 단계. 감염 및 분포 벡터

랜섬웨어는 다른 멀웨어와 마찬가지로 다양한 방법으로 조직의 시스템에 액세스할 수 있습니다. 그러나 랜섬웨어 운영자는 몇 가지 특정 감염 벡터를 선호하는 경향이 있습니다.

그 중 하나가 피싱 이메일입니다. 악성 이메일에는 악성 다운로드를 호스팅하는 웹 사이트 링크 또는 다운로더 기능이 내장된 첨부 파일이 포함될 수 있습니다. 이메일 수신자가 피싱에 속으면 랜섬웨어가 컴퓨터에 다운로드되어 실행됩니다.

또 다른 인기 있는 랜섬웨어 감염 벡터는 원격 데스크톱 프로토콜(RDP)과 같은 서비스를 이용합니다. RDP를 사용하면 직원의 로그인 자격 증명을 훔치거나 추측한 공격자가 이를 사용하여 엔터프라이즈 네트워크 내의 컴퓨터에 인증하고 원격으로 액세스할 수 있습니다. 이 액세스를 통해 공격자는 멀웨어를 직접 다운로드하여 자신이 제어하는 컴퓨터에서 실행할 수 있습니다.

워너크라이(WannaCry)가 이터널블루(EternalBlue) 취약점을 악용한 것과 같이 시스템을 직접 감염시키려고 시도하는 사람들도 있습니다. 대부분의 랜섬웨어 변종에는 여러 감염 벡터가 있습니다.

  • 2 단계. 데이터 암호화

 랜섬웨어가 시스템에 액세스한 후 파일 암호화를 시작할 수 있습니다. 암호화 기능은 운영 체제에 내장되어 있기 때문에 파일에 액세스하고, 공격자가 제어하는 키로 암호화하고, 원본을 암호화된 버전으로 교체하기만 하면 됩니다. 대부분의 랜섬웨어 변종은 시스템 안정성을 보장하기 위해 암호화할 파일을 신중하게 선택합니다. 일부 변형은 암호 해독 키 없이 복구를 더 어렵게 만들기 위해 파일의 백업 및 섀도 복사본을 삭제하는 단계를 수행합니다.

  • 3 단계. 몸값 요구

파일 암호화가 완료되면 랜섬웨어는 몸값을 요구할 준비가 됩니다. 다양한 랜섬웨어 변종이 이를 다양한 방식으로 구현하지만 디스플레이 배경이 랜섬 노트 또는 랜섬 노트가 포함된 암호화된 각 디렉토리에 배치된 텍스트 파일로 변경되는 것은 드문 일이 아닙니다. 일반적으로 이러한 메모는 피해자의 파일에 액세스하는 대가로 일정 금액의 암호화폐를 요구합니다. 몸값이 지불되면 랜섬웨어 운영자는 대칭 암호화 키를 보호하는 데 사용되는 개인 키의 사본 또는 대칭 암호화 키 자체의 사본을 제공합니다. 이 정보는 암호 해독 프로그램(사이버 범죄자가 제공)에 입력할 수 있으며, 이 프로그램은 이를 사용하여 암호화를 되돌리고 사용자 파일에 대한 액세스를 복원할 수 있습니다.

이 세 가지 핵심 단계는 모든 랜섬웨어 변종에 존재하지만 다른 랜섬웨어에는 다른 구현 또는 추가 단계가 포함될 수 있습니다. 예를 들어, Maze와 같은 랜섬웨어 변종은 데이터 암호화 전에 파일 스캔, 레지스트리 정보 및 데이터 도난을 수행하고, WannaCry 랜섬웨어는 감염 및 암호화할 다른 취약한 디바이스를 스캔합니다.

Types of Ransomware Attacks

Ransomware has evolved significantly over the past few years. Some important types of ransomware and related threats include:

  • Double Extortion: Double-extortion ransomware like Maze combines data encryption with data theft. This technique was developed in response to organizations refusing to pay ransoms and restoring from backups instead. By stealing an organization’s data as well, the cybercriminals could threaten to leak it if the victim doesn’t pay up.
  • Triple Extortion: Triple extortion ransomware adds a third extortion technique to double extortion. Often, this includes demanding a ransom from the victim’s customers or partners or performing a distributed denial-of-service (DDoS) attack against the company as well.
  • Locker Ransomware: Locker ransomware is ransomware that doesn’t encrypt the files on the victim’s machine. Instead, it locks the computer — rendering it unusable to the victim — until the ransom has been paid.
  • Crypto Ransomware: Crypto ransomware is another name for ransomware that underscores the fact that ransomware payments are commonly paid in cryptocurrency. The reason for this is that cryptocurrencies are digital currencies that are more difficult to track since they’re not managed by the traditional financial system.
  • Wiper: Wipers are a form of malware that is related to but distinct from ransomware. While they may use the same encryption techniques, the goal is to permanently deny access to the encrypted files, which may include deleting the only copy of the encryption key.
  • Ransomware as a Service (RaaS): RaaS is a malware distribution model in which ransomware gangs provide “affiliates” with access to their malware. These affiliates infect targets with the malware and split any ransom payments with the ransomware developers.
  • Data-Stealing Ransomware: Some ransomware variants have focused on data theft, abandoning data encryption entirely. One reason for this is that encryption can be time-consuming and easily detectable, providing an organization with an opportunity to terminate the infection and protect some files from encryption.

인기 있는 랜섬웨어 변종

수십 개의 랜섬웨어 변종이 존재하며 각각 고유한 특성을 가지고 있습니다. 그러나 일부 랜섬웨어 그룹은 다른 그룹보다 더 많고 성공적이어서 군중에서 눈에 띄게 되었습니다.

1. 류크

류크 는 매우 표적화된 랜섬웨어 변종의 예입니다. 일반적으로 스피어 피싱 이메일을 통해 전달되거나 손상된 사용자 자격 증명을 사용하여 RDP(원격 데스크톱 프로토콜)를 사용하여 엔터프라이즈 시스템에 로그인합니다. 시스템이 감염되면 Ryuk는 특정 유형의 파일을 암호화한 다음(컴퓨터 작동에 중요한 파일은 피함) 몸값을 요구합니다.

Ryuk는 현존하는 가장 비싼 유형의 랜섬웨어 중 하나로 잘 알려져 있습니다. 류크는 몸값을 요구한다. 평균 100만 달러 이상. 결과적으로 Ryuk의 배후에 있는 사이버 범죄자들은 주로 요구 사항을 충족하는 데 필요한 리소스를 보유한 기업에 중점을 둡니다.

2. 미로

미로 랜섬웨어는 최초의 랜섬웨어 변종으로 유명합니다. 파일 암호화와 데이터 도난 결합. 표적이 몸값 지불을 거부하기 시작하자 Maze는 피해자의 컴퓨터에서 민감한 데이터를 수집한 후 암호화하기 시작했습니다. 몸값 요구가 충족되지 않으면 이 데이터가 공개적으로 노출되거나 최고 입찰자에게 판매됩니다. 비용이 많이 드는 데이터 유출 가능성은 추가 지불 인센티브로 사용되었습니다.

Maze 랜섬웨어 배후의 그룹은 공식적으로 운영 종료. 그러나 이것이 랜섬웨어의 위협이 감소했다는 것을 의미하지는 않습니다. 일부 Maze 계열사는 Egregor 랜섬웨어를 사용하도록 전환했으며 Egregor, Maze 및 Sekhmet 변종에는 공통 소스가 있는 것으로 믿어집니다.

3.레빌 (소디노키비)

REvil 그룹(소디노키비라고도 함) 대규모 조직을 대상으로 하는 또 다른 랜섬웨어 변종입니다.

REvil은 인터넷에서 가장 잘 알려진 랜섬웨어 제품군 중 하나입니다. 2019년부터 러시아어를 사용하는 REvil 그룹이 운영해 온 이 랜섬웨어 그룹은 'Kaseya' 및 'JBS'와 같은 많은 대규모 침해를 담당했습니다

지난 몇 년 동안 가장 비싼 랜섬웨어 변종이라는 타이틀을 놓고 Ryuk와 경쟁했습니다. REvil은 다음과 같은 것으로 알려져 있습니다. 800,000달러의 몸값을 요구했습니다..

REvil은 전통적인 랜섬웨어 변종으로 시작했지만 시간이 지남에 따라 진화했습니다.
그들은 이중 갈취 기술을 사용하여 파일을 암호화하면서 기업에서 데이터를 훔치고 있습니다. 즉, 공격자는 데이터 암호 해독을 위해 몸값을 요구하는 것 외에도 두 번째 지불이 이루어지지 않으면 도난당한 데이터를 공개하겠다고 위협할 수 있습니다.

4. 록빗

LockBit은 2019년 9월부터 운영 중인 데이터 암호화 멀웨어이며 최근 랜섬웨어 RaaS(RaaS)입니다. 이 랜섬웨어는 보안 어플라이언스 및 IT/SOC 팀이 신속하게 탐지하는 것을 방지하는 방법으로 대규모 조직을 신속하게 암호화하기 위해 개발되었습니다. 

5. 디어크라이

2021년 3월, Microsoft는 Microsoft Exchange 서버 내의 4가지 취약점에 대한 패치를 출시했습니다. 디어크라이(DearCry)는 마이크로소프트 익스체인지(Microsoft Exchange)에서 최근 공개된 4가지 취약점을 악용하도록 설계된 새로운 랜섬웨어 변종이다

DearCry 랜섬웨어는 특정 유형의 파일을 암호화합니다. 암호화가 완료되면 DearCry는 사용자에게 파일 암호 해독 방법을 배우기 위해 랜섬웨어 운영자에게 이메일을 보내도록 지시하는 랜섬 메시지를 표시합니다.

6. 랩서스$

Lapsus$는 일부 유명 표적에 대한 사이버 공격과 연결된 남미 랜섬웨어 갱단입니다. 사이버 갱단은 피해자의 요구가 이루어지지 않으면 민감한 정보를 공개하겠다고 위협하는 갈취로 유명합니다. 이 그룹은 Nvidia, Samsung, Ubisoft 등에 진출한 것을 자랑했습니다. 이 그룹은 훔친 소스 코드를 사용하여 멀웨어 파일을 신뢰할 수 있는 것으로 위장합니다.

How Does Ransomware Affect Businesses?

A successful ransomware attack can have various impacts on a business. Some of the most common risks include:

  • Financial Losses: Ransomware attacks are designed to force their victims to pay a ransom. Additionally, companies can lose money due to the costs of remediating the infection, lost business, and potential legal fees.
  • Data Loss: Some ransomware attacks encrypt data as part of their extortion efforts. Often, this can result in data loss, even if the company pays the ransom and receives a decryptor.
  • Data Breach: Ransomware groups are increasingly pivoting to double or triple extortion attacks. These attacks incorporate data theft and potential exposure alongside data encryption.
  • Downtime: Ransomware encrypts critical data, and triple extortion attacks may incorporate DDoS attacks. Both of these have the potential to cause operational downtime for an organization.
  • Brand Damage: Ransomware attacks can harm an organization’s reputation with customers and partners. This is especially true if customer data is breached or they receive ransom demands as well.
  • Legal and Regulatory Penalties: Ransomware attacks may be enabled by security negligence and may include the breach of sensitive data. This may open up a company to lawsuits or penalties being levied by regulators.

Common Ransomware Target Industries

Ransomware can target any company across all industry verticals. However, ransomware is commonly deployed as part of a cybercrime campaign, which is often targeted at a particular industry. The top five ransomware target industries in 2023 include:

  • Education/Research: The Education/Research sector experienced 2046 ransomware attacks in 2023, a 12% drop from the previous year.
  • Government/Military: Government and military organizations were the second most targeted industry with 1598 attacks and a 4% decrease from 2022.
  • Healthcare: Healthcare experienced 1500 attacks and a 3% increase, which is particularly concerning due to the sensitive data and critical services that it provides.
  • Communications: Communications organizations experienced an 8% growth in 2023, totaling 1493 known attacks.
  • ISP/MSPs: ISPs and MSPs — a common ransomware target due to their potential for supply chain attacks — experienced 1286 ransomware attacks in 2023, a 6% decrease.

랜섬웨어로부터 보호하는 방법

  • 모범 사례 활용

적절한 준비를 통해 랜섬웨어 공격의 비용과 영향을 크게 줄일 수 있습니다. 다음 모범 사례를 따르면 조직이 랜섬웨어에 노출되는 것을 줄이고 그 영향을 최소화할 수 있습니다.

  1. 사이버 인식 훈련 및 교육: 랜섬웨어는 종종 피싱 이메일을 사용하여 확산됩니다. 잠재적인 랜섬웨어 공격을 식별하고 피하는 방법에 대해 사용자를 교육하는 것이 중요합니다. 현재 사이버 공격의 대부분은 멀웨어가 포함되어 있지 않고 사용자가 악성 링크를 클릭하도록 유도하는 소셜 엔지니어링 메시지만 포함하는 표적 이메일에서 시작되기 때문에 사용자 교육은 조직이 배포할 수 있는 가장 중요한 방어 수단 중 하나로 간주되는 경우가 많습니다.
  2. 지속적인 데이터 백업:  랜섬웨어의 정의에 따르면 랜섬웨어는 몸값을 지불하는 것이 암호화된 데이터에 대한 액세스를 복원하는 유일한 방법임을 증명하도록 설계된 멀웨어입니다. 자동화된 보호된 데이터 백업을 통해 조직은 몸값을 지불하지 않고 데이터 손실을 최소화하면서 공격으로부터 복구할 수 있습니다. 일상적인 프로세스로 데이터를 정기적으로 백업하는 것은 데이터 손실을 방지하고 손상 또는 디스크 하드웨어 오작동 시 복구할 수 있는 매우 중요한 방법입니다. 기능 백업은 조직이 랜섬웨어 공격으로부터 복구하는 데도 도움이 될 수 있습니다.
  3. 패치: 사이버 범죄자는 사용 가능한 패치에서 최근에 발견된 익스플로잇을 찾은 다음 아직 패치되지 않은 시스템을 대상으로 하는 경우가 많기 때문에 패치는 랜섬웨어 공격을 방어하는 데 중요한 구성 요소입니다. 따라서 조직은 모든 시스템에 최신 패치가 적용되도록 하는 것이 중요하며, 이를 통해 공격자가 악용할 수 있는 비즈니스 내의 잠재적 취약성 수를 줄일 수 있습니다.
  4. 사용자 인증: 훔친 사용자 자격 증명으로 RDP와 같은 서비스에 액세스하는 것은 랜섬웨어 공격자가 가장 좋아하는 기술입니다. 강력한 사용자 인증을 사용하면 공격자가 추측하거나 도난당한 암호를 사용하기가 더 어려워질 수 있습니다

  • 공격 표면 축소

랜섬웨어 감염의 잠재적 비용이 높기 때문에 예방은 최고의 랜섬웨어 완화 전략입니다. 이는 다음을 해결하여 공격 표면을 줄임으로써 달성할 수 있습니다.

  1. 피싱 메시지
  2. 패치되지 않은 취약성
  3. 원격 액세스 솔루션
  4. 모바일 멀웨어

  • 랜섬웨어 방지 솔루션배포

사용자의 모든 파일을 암호화해야 한다는 것은 랜섬웨어가 시스템에서 실행될 때 고유한 지문을 갖는다는 것을 의미합니다. 랜섬웨어 방지 솔루션은 이러한 지문을 식별하기 위해 구축되었습니다. 좋은 랜섬웨어 방지 솔루션의 일반적인 특성은 다음과 같습니다.

  • 다양한 변이 검출
  • 빠른 감지
  • 자동 복원
  • 일반적인 기본 제공 도구를 기반으로 하지 않는 복원 메커니즘(예: 일부 랜섬웨어 변종의 대상이 되는 '섀도 복사본')

랜섬웨어를 제거하는 방법?

랜섬 메시지는 랜섬웨어 감염이 성공했음을 나타내기 때문에 누구나 컴퓨터에서 보고 싶어하는 것이 아닙니다. 이 시점에서 활성 랜섬웨어 감염에 대응하기 위해 몇 가지 조치를 취할 수 있으며 조직은 몸값을 지불할지 여부를 선택해야 합니다.

  • 활성 랜섬웨어 감염을 완화하는 방법

많은 성공적인 랜섬웨어 공격은 데이터 암호화가 완료되고 감염된 컴퓨터 화면에 랜섬 노트가 표시된 후에만 탐지됩니다. 이 시점에서 암호화된 파일은 복구할 수 없지만 몇 가지 단계를 즉시 수행해야 합니다.

  1. 컴퓨터를 격리합니다. 일부 랜섬웨어 변종은 연결된 드라이브 및 다른 시스템으로 확산을 시도합니다. 다른 잠재적 대상에 대한 액세스를 제거하여 멀웨어의 확산을 제한합니다.
  2. 컴퓨터를 켜진 상태로 두십시오. 파일을 암호화하면 컴퓨터가 불안정해질 수 있으며 컴퓨터 전원을 끄면 휘발성 메모리가 손실될 수 있습니다. 복구 가능성을 최대화하려면 컴퓨터를 켜 두십시오.
  3. 백업 생성: 일부 랜섬웨어 변종에 대한 파일 암호 해독은 몸값을 지불하지 않고도 가능합니다. 나중에 솔루션을 사용할 수 있게 되거나 암호 해독 작업이 실패하여 파일이 손상되는 경우를 대비하여 이동식 미디어에 암호화된 파일의 복사본을 만듭니다.
  4. 암호 해독기 확인: No More Ransom Project에 문의하여 무료 암호 해독기를 사용할 수 있는지 확인하십시오. 그렇다면 암호화된 데이터의 복사본에서 실행하여 파일을 복원할 수 있는지 확인합니다.
  5. 도움 요청: 컴퓨터는 때때로 컴퓨터에 저장된 파일의 백업 복사본을 저장합니다. 디지털 포렌식 전문가는 멀웨어에 의해 삭제되지 않은 경우 이러한 복사본을 복구할 수 있습니다.
  6. 지우기 및 복원: 새로 백업하거나 운영 체제를 설치한 상태에서 컴퓨터를 복원합니다. 이렇게 하면 멀웨어가 디바이스에서 완전히 제거됩니다

체크 포인트가 어떻게 도움이 될 수 있습니까?

체크포인트의 안티 랜섬웨어 기술은 가장 정교하고 교묘한 제로데이 랜 섬웨어 변종을 방어하고 암호화된 데이터를 안전하게 복구하여 비즈니스 연속성과 생산성을 보장하는 특수 목적 엔진을 사용합니다. 이 기술의 효과는 당사 연구팀에 의해 매일 검증되고 있으며, 공격을 식별하고 완화하는 데 있어 탁월한 결과를 지속적으로 입증하고 있습니다.

체크포인트의 선도적인 엔드포인트 예방 및 대응 제품인 Harmony Endpoint는 안티랜섬웨어 기술을 포함하고 있으며, 체크포인트의 업계 최고의 네트워크 보호 기능을 활용하여 웹 브라우저와 엔드포인트에 대한 보호 기능을 제공합니다. Harmony Endpoint는 모든 멀웨어 위협 벡터에 대해 완전한 실시간 위협 차단 및 해결 기능을 제공하여 직원이 생산성 저하 없이 어디에 있든 안전하게 작업할 수 있도록 합니다.

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다.웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.
확인