DearCry 랜섬웨어

랜섬웨어 변종인 DearCry는 최근에 공개된 Microsoft Exchange의 네 가지 취약점을 이용하도록 설계되었습니다. 일단 컴퓨터에 액세스하면 컴퓨터에 저장된 파일을 암호화하여 해당 암호 해독 키(공격자만 알고 있음)가 없으면 액세스할 수 없도록 합니다.

전문가와 상담하기 자세히 알아보기

디어크라이 랜섬웨어는 어떻게 작동하나요?

2021년 3월, Microsoft는 Microsoft Exchange 서버 내의 네 가지 중요한 취약성에 대한 패치를 릴리스했습니다. 이러한 취약점은 다양한 공격 캠페인에서 적극적으로 악용되었습니다. DearCry는 이러한 취약한 Microsoft Exchange 서버를 악용하도록 설계된 랜섬웨어 변종입니다.

이 멀웨어는 드라이브 열거를 수행하여 감염된 컴퓨터에서 액세스 가능한 모든 저장 매체를 식별합니다. 이러한 각 드라이브에 대해 DearCry 랜섬웨어는 AES 및 RSA-2048을 사용하여 특정 유형의 파일(파일 확장자 기준)을 암호화합니다. 암호화가 완료되면 DearCry는 랜섬웨어 운영자에게 이메일을 보내 암호 해독 방법을 알아보라고 안내하는 랜섬 메모를 표시합니다.

디어크라이 랜섬웨어로부터 보호하는 방법

디어크라이 랜섬 메시지가 표시되면 이미 피해가 발생한 것입니다. DearCry 또는 모든 유형의 랜섬웨어에 대응하는 가장 좋은 방법은 데이터 암호화가 시작되기 전에 랜섬웨어를 탐지하고 차단하는 것입니다.

랜섬웨어 방지 보호 기능을 배포하는 것이 가장 효과적인 방법입니다. 체크포인트의 위협 에뮬레이션과 같은 도구는 행동 분석을 사용하여 랜섬웨어 공격의 경고 징후를 식별함으로써 사용자가 피해가 발생하기 전에 위협을 해결할 수 있도록 합니다. 모든 랜섬웨어는 목표를 달성하기 위해 파일 암호화와 같은 특정 작업을 수행해야 하므로 이 접근 방식은 모든 유형의 랜섬웨어에 효과적입니다.

그러나 특정 유형의 랜섬웨어를 대상으로 하는 보호 기능을 사용하면 조직의 대응 속도와 효율성을 개선하는 데 도움이 될 수 있습니다. 체크포인트는 랜섬웨어에 대한 일반적인 위협 에뮬레이션 보호 기능(디어크라이를 성공적으로 차단) 외에도 다음 제품에 대한 두 가지 전용 보호 기능을 출시했습니다:

위협 에뮬레이션 - 랜섬웨어.Win.DearCry.A
Harmony Endpoint - 랜섬웨어.Win.DearCry.B

이러한 전용 탐지 도구를 사용하면 조직의 시스템에서 잠재적인 디어크라이 감염을 더 빠르고 쉽게 탐지하고 근절할 수 있습니다.

랜섬웨어 예방 모범 사례

디어크라이 랜섬웨어로부터 보호하기 위해서는 위협 에뮬레이션 및 Harmony Endpoint)에 배포된 것과 같은 표적화된 보호가 능동적 공격에 가장 효과적인 솔루션입니다. 보다 일반적인 랜섬웨어 보호 기능도 이러한 위협을 탐지할 수 있으며 제로데이 랜섬웨어 공격을 식별하고 차단하는 데 필수적입니다.

그러나 조직은 랜섬웨어 공격의 잠재적 비용과 영향을 최소화하기 위해 심층적인 방어 기능을 구현해야 합니다. 랜섬웨어 예방을 위한 몇 가지 모범 사례는 다음과 같습니다:

패치 관리: DearCry 랜섬웨어는 Microsoft Exchange 서버의 중요한 취약점을 악용합니다. 공격자가 악용할 수 있는 잠재적 침입 경로를 최소화하려면 디바이스를 최신 상태로 패치하는 것이 필수적입니다.
직원 교육: 랜섬웨어는 일반적으로 피싱 및 직원을 악용하는 기타 기술을 통해 전달됩니다. 직원들이 이러한 유형의 공격을 인식하고 적절히 대응하도록 교육하면 랜섬웨어 및 기타 유형의 공격에 대한 조직의 위험을 크게 줄일 수 있습니다.
이메일 보안: 이메일은 랜섬웨어를 비롯한 모든 유형의 멀웨어의 주요 감염 경로입니다. 이메일 보안 솔루션은 머신 러닝과 샌드박스 에뮬레이션을 사용하여 악성 콘텐츠가 사용자의 받은 편지함에 도달하기 전에 이메일에서 악성 콘텐츠를 식별하고 제거할 수 있습니다.
안전한 원격 액세스: 코로나19 팬데믹으로 인해 가상 사설 네트워크(VPN)와 원격 데스크톱 프로토콜(RDP)이 랜섬웨어의 가장 인기 있는 전달 메커니즘으로 부상했습니다. 조직의 재택근무 인프라를 보호하면 이러한 잠재적인 공격 벡터를 차단하는 데 도움이 될 수 있습니다.
엔드포인트 보안: 랜섬웨어는 다양한 미디어를 통해 전달될 수 있습니다. 랜섬웨어 및 기타 유형의 악성 콘텐츠를 탐지하고 차단할 수 있는 엔드포인트 보안 솔루션은 이러한 위협에 대한 조직의 노출을 최소화하는 데 도움이 될 수 있습니다.

체크 포인트로 랜섬웨어 공격 차단하기

랜섬웨어 위협 환경은 끊임없이 진화하고 있습니다. DearCry는 수년 동안 존재해 온 위협의 최신 반복 중 하나로, 최근 널리 사용되는 제품에서 발견된 취약점을 악용합니다. 조직에는 최신 랜섬웨어 위협에 대응하고 이를 완화할 수 있는 표적화된 랜섬웨어 방지 솔루션이 필요합니다.

랜섬웨어는 엔드포인트를 공격하므로 모든 랜섬웨어 방지 전략의 초점은 엔드포인트에 맞춰져야 합니다. 체크포인트의 하모니 엔드포인트는 일반적인 행동 기반 탐지 및 특정 변종에 대한 보호를 포함하여 랜섬웨어에 대한 포괄적인 보호 기능을 제공하는 완벽한 엔드포인트 보안 솔루션입니다.

또한 MITRE ATT&CK 프레임워크에 매핑된 위협 헌팅 지원을 통해 조직의 보안팀은 네트워크 내에서 잠재적인 위협과 침입을 선제적으로 검색하고 조사할 수 있습니다. 위협 헌팅에 대해 자세히 알아보려면 Harmony Endpoint 을 참조하세요.

Harmony Endpoint 는 디어크라이 랜섬웨어와 같은 위협에 대한 포괄적인 보호 기능을 제공합니다. 기능에 대해 자세히 알아보려면 이 제품 둘러보기를 확인하세요. 개인 맞춤형 데모를 요청하여 Harmony Endpoint 의 성능을 직접 확인하실 수도 있습니다.