DarkSide 소개
2020년 8월에 처음 발견된 이 그룹은 다양한 랜섬웨어 그룹의 숙련된 사이버 범죄자로 구성된 것으로 추정됩니다. DarkSide는 최근 RaaS( Ransomware as a Service ) 분야에 진입하여 랜섬웨어를 개발하여 다른 사이버 범죄자에게 판매합니다.
이를 통해 사이버 범죄자는 특정 영역을 전문으로 할 수 있습니다. DarkSide 그룹은 멀웨어 개발 및 개선에 중점을 두는 반면, 고객은 대상 네트워크에 대한 액세스 권한을 얻고 그 안의 중요하거나 중요한 시스템에 멀웨어를 전달하는 것을 전문으로 합니다.
The DarkSide group made headlines for a ransomware attack against Colonial Pipeline, which transports about half of the fuel to the East Coast of the United States. This attack crippled the pipeline’s operations, causing a complete shutdown for multiple days and causing the US government to announce a state of emergency due to the attack posing a potential national security threat.
DarkSide 랜섬웨어의 작동 원리
DarkSide 랜섬웨어 그룹은 고도로 표적화된 공격을 수행합니다. 이 단체는 정치에 무관심하고 돈을 버는 데 집중하지만 사회에 문제를 일으키고 싶지 않다고 주장합니다. 그 일환으로 이 그룹은 공격에 대해 "허용 가능한 대상"으로 간주되는 목록을 발표했습니다.
DarkSide 랜섬웨어가 대상 환경에 대한 액세스 권한을 얻으면 비즈니스에서 민감하고 귀중한 데이터를 수집하고 유출하는 것으로 시작됩니다. 이는 DarkSide가 파일 암호 해독을 위해 몸값을 지불하지 않는 피해자가 요구가 충족되지 않으면 데이터가 노출될 것이라고 위협하는 "이중 갈취" 공격을 수행하기 때문입니다. DarkSide 그룹은 몸값 지불을 거부하는 대상의 데이터를 게시하는 DarkSide Leaks라는 웹사이트를 유지 관리합니다.
데이터를 훔치고 감염된 컴퓨터를 암호화한 후 DarkSide 그룹은 특정 대상에 맞는 몸값을 요구합니다. 대상 회사의 규모와 자원에 따라 몸값 요구는 200,000달러에서 2,000만 달러까지 다양할 수 있습니다. 수익 가능성을 높이기 위해 DarkSide 그룹은 회사에 대한 심층 조사를 수행하여 주요 의사 결정자를 식별하고 요구되는 몸값을 극대화하는 동시에 대상 조직의 지불 능력 내에 있는지 확인합니다.
RaaS 공급업체인 DarkSide 그룹은 멀웨어를 개선하여 탐지 및 차단을 보다 효과적이고 어렵게 만드는 데 중점을 둡니다. 이를 위해 이 그룹은 최근 공격 캠페인에서 활발히 사용되고 있는 멀웨어 버전 2.0을 출시했습니다.
랜섬웨어 위협 관리
The emergence of the DarkSide ransomware group demonstrates the increasing threat of ransomware attacks. A number of different ransomware groups are currently operating, and the RaaS business model makes it possible for groups with sophisticated malware – like DarkSide – to expand their impact by selling access to their ransomware to other cybercrime groups.
정교한 랜섬웨어에 액세스하는 그룹의 수가 증가함에 따라 랜섬웨어 방지는 모든 조직의 사이버 보안 전략에서 중요한 구성 요소입니다.
랜섬웨어의 위협을 완화하려면 다음과 같은 특정 모범 사례를 구현해야 합니다.
- 인식 교육: 랜섬웨어의 높은 비율은 피싱 및 기타 소셜 엔지니어링 공격을 통해 전달됩니다. 의심스러운 이메일을 인식하고 적절하게 대응하도록 직원을 교육하는 것은 의심스러운 이메일이 제기하는 위협을 완화하는 데 필수적입니다.
- 데이터 백업: 랜섬웨어는 데이터를 암호화하도록 설계되어 조직이 액세스 권한을 다시 얻기 위해 몸값을 지불해야 합니다. 데이터 백업을 자주 생성하면 랜섬웨어 공격으로 인한 잠재적인 데이터 손실을 최소화할 수 있습니다.
- 패치 관리: 일부 랜섬웨어 변종은 조직 시스템의 패치되지 않은 취약성을 악용하여 확산됩니다. 업데이트를 즉시 설치하면 공격자가 악용하기 전에 이러한 격차를 해소하는 데 도움이 될 수 있습니다.
- 다중 인증: 손상된 사용자 자격 증명은 RDP 또는 VPN과 함께 사용되어 회사 컴퓨터에 대한 액세스 권한을 얻고 멀웨어를 심습니다. 다중 인증(MFA)을 구현하면 취약하거나 침해된 암호의 위험을 제한할 수 있습니다.
엔드포인트 보안에 추가합니다. 랜섬웨어는 다양한 방법으로 조직의 컴퓨터에 액세스할 수 있습니다. 랜섬웨어 방지 기능을 갖춘 엔드포인트 보안 솔루션은 랜섬웨어 감염을 탐지 및 제거하고 발생하는 피해를 최소화하는 데 도움이 될 수 있습니다.
Harmony Endpoint를 통한 랜섬웨어 방지
체크 포인트의 Harmony Endpoint는 랜섬웨어 공격에 대한 강력한 보호 기능을 제공하는 모든 기능을 갖춘 엔드포인트 보안 솔루션입니다. 최신 MITRE Engenuity ATT&CK 평가에서 Harmony Endpoint는 테스트에 사용된 모든 공격 기술을 탐지하여 랜섬웨어 공격을 포함한 최신 사이버 위협에 대한 포괄적인 보호를 제공할 수 있는 능력을 입증했습니다.
Harmony Endpoint를 통해 조직은 환경 내에서 랜섬웨어 감염을 사전에 탐지할 수 있습니다. Harmony Endpoint를 사용한 위협 헌팅에 대해 알아보려면 이 비디오를 시청하십시오. 또한 이 비디오에서 Harmony Endpoint를 사용하여 Maze 랜섬웨어 감염을 식별하는 방법을 확인하십시오.
Harmony Endpoint의 기능에 대해 자세히 알아보려면 솔루션 개요를 확인하십시오. 또한 개인화된 데모 를 통해 Harmony Endpoint가 작동하는 것을 보고 무료 평가판을 통해 직접 사용해 볼 수 있습니다.
피드백