랜섬웨어 공격의 급증
원래 랜섬웨어는 시스템의 파일을 암호화하고 암호 해독 키에 대한 몸값을 요구하는 단일 위협 그룹에 의해 푸시된 멀웨어였습니다. 그러나 지난 몇 년 동안 랜섬웨어 위협의 양상이 극적으로 바뀌었습니다.
한 가지 주요 변화는 이러한 공격이 점점 더 확대되고 있다는 것입니다. 첫째, "이중 갈취" 공격은 민감한 데이터를 암호화하기 전에 훔치고 몸값을 지불하지 않으면 데이터를 유출하겠다고 위협합니다. 그러자 '삼중 갈취' 집단이 피해자의 고객들을 협박하고 몸값을 요구하기 시작했다. 현재 일부 랜섬웨어 그룹은 피해자가 몸값을 지불할 수 있도록 추가 레버리지를 제공하기 위해 위협을 가하거나 분산 서비스 거부(DDoS) 공격(DDoS) 공격을 수행하고 있습니다.
또 다른 주요 진화는 RaaS(Ransomware as a Service) 모델의 출현으로, 한 랜섬웨어 그룹이 멀웨어를 개발한 다음 공격에 사용할 "계열사"에 배포합니다. RaaS를 사용하면 더 많은 그룹이 정교한 멀웨어에 액세스할 수 있으며, 이는 더 많은 랜섬웨어 공격을 의미합니다.
감염되었을 때 해야 할 일
감염된 경우 다음 단계를 수행하여 인시던트의 영향을 관리하고 랜섬웨어 복구를 준비합니다.
- 침착하세요: 랜섬웨어 공격은 스트레스를 줄 수 있지만 서두르는 것은 큰 실수를 의미할 수 있습니다. 냉정함을 유지하는 것은 랜섬웨어로부터 복구하는 동안 올바른 결정을 내리는 데 필수적입니다.
- 영향을 받는 시스템 격리: 랜섬웨어는 일반적으로 가능한 한 많은 시스템을 감염시키기 위해 네트워크를 통해 확산을 시도합니다. 감염된 시스템을 네트워크의 나머지 부분에서 분리하면 다른 데이터도 암호화되지 않도록 할 수 있습니다.
- 백업 연결 끊기: 랜섬웨어는 일반적으로 백업 시스템을 표적으로 삼는데, 랜섬웨어 운영자는 조직이 몸값을 지불하는 대신 백업에서 복구를 시도한다는 것을 알고 있기 때문입니다. 감염된 컴퓨터에 백업을 연결하지 말고 감염되었을 수 있는 백업을 모니터링하고 격리합니다.
- 사본 만들기: 랜섬웨어 암호 해독이 항상 작동하는 것은 아니며 랜섬웨어 암호 해독기는 지속적으로 개발 중입니다. 암호화된 데이터의 복사본을 만들면 문제가 발생할 경우 나중에 복구할 수 있습니다.
- 감염된 시스템을 온라인 상태로 유지: 일부 랜섬웨어 변종은 감염된 시스템을 불안정하게 만들 수 있으며, 이는 재부팅 시 복구할 수 없는 상태가 될 수 있음을 의미합니다. 랜섬웨어를 제거하는 동안 시스템을 재부팅하거나 감염된 시스템에서 업데이트를 수행하지 마십시오.
- 협력 및 의사 소통 : 법 집행 기관, 규제 기관 및 기타 이해 관계자에게 연락하고 평판이 좋은 사고 대응 팀에 연락하는 것을 고려하십시오. 문제를 해결하는 데 도움이 되는 전문 지식이나 추가 리소스가 있을 수 있습니다.
- 변형을 식별합니다. 다양한 랜섬웨어 변종이 유통되고 있으며 목록은 지속적으로 변경됩니다. 랜섬 노트에 작성자의 이름이 없는 경우 No More Ransom Project 에서 자세한 정보와 잠재적으로 무료 암호 해독기를 확인하십시오.
- 지불 여부: 이 질문은 어려운 질문입니다. 한편으로는 몸값을 지불하면 더 빠르고 저렴한 복구가 가능할 수 있습니다. 반면에 비용을 지불하면 복구가 보장되지 않으며 공격자에게 활동을 계속하는 데 필요한 리소스를 제공합니다.
- 인시던트에서 배우기: 랜섬웨어는 어떻게 든 시스템에 액세스 할 수 있습니다. 감염 벡터를 식별하고 닫아 향후 공격자가 동일한 기술을 사용하지 못하도록 합니다.
랜섬웨어로부터 복구하는 방법
성공적인 랜섬웨어 공격은 적절한 암호 해독 키 없이는 암호를 해독할 수 없는 방식으로 데이터를 암호화합니다. 그러나 랜섬웨어 복구를 위한 몇 가지 옵션이 있습니다.
- No More Ransom 프로젝트: 위에서 언급했듯이 해결책을 찾는 첫 번째 장소는 No More Ransom Project입니다. 많은 랜섬웨어 변종에 대한 무료 암호 해독기가 출시되어 몸값을 지불하지 않고도 복구할 수 있습니다. 그러나 일반적으로 가장 널리 퍼진 랜섬웨어 변종에는 도구를 사용할 수 없습니다.
- 백업에서 복원: 랜섬웨어는 일반적으로 백업을 삭제하거나 암호화하려고 시도하지만 일부는 그대로 남아 있을 수 있습니다. 오프라인 또는 읽기 전용인 경우. 백업이 깨끗한지 확인하고 MBR(마스터 부트 레코드)을 포함하여 컴퓨터를 완전히 지운 후 백업에서 부분 또는 전체 복구를 수행할 수 있습니다.
- 몸값 지불: 랜섬웨어의 목표는 피해자를 몸값을 지불하는 것이 "사용 가능한 유일한 옵션"인 위치에 배치하는 것입니다. 지불 여부에 대한 결정은 조직의 고유한 상황에 따라 다르며 상당한 위험을 수반합니다.
파일을 복원하는 것 외에도 공격자가 감염된 컴퓨터의 파일을 즉시 다시 암호화할 수 없도록 하는 것이 중요합니다. 인시던트 대응 팀(IRT)을 참여시켜 기업 환경에 액세스하는 데 사용되는 취약성을 식별 및 해결하고 감염된 시스템에 설치된 백도어 및 지속성 메커니즘을 탐지 및 제거하는 것은 이러한 시스템을 복원하기 전에 중요한 단계입니다.
체크 포인트를 사용한 랜섬웨어 복구
랜섬웨어의 경우 예방 이 항상 최선의 선택입니다. 공격이 발생하기 전에 랜섬웨어 방지 솔루션을 갖추면 조직은 많은 시간, 비용 및 문제를 절약할 수 있습니다. 랜섬웨어 방지 솔루션에 대해 자세히 알아보려면 이 구매자 가이드를 확인하고 Harmony Endpoint의 무료 데모를 요청하십시오.
그러나 성공적인 랜섬웨어 공격의 피해자라면 전문가를 부르는 것이 좋습니다. 체크 포인트의 관리형 탐지 및 대응(MDR) 및 인시던트 대응(IR) 팀은 랜섬웨어 감염을 탐지, 조사 및 관리하는 데 광범위한 경험을 보유하고 있습니다.
사이버 보안 사고가 발생한 경우 비상 대응 핫라인에 전화하십시오. 덜 긴급한 문제와 향후 랜섬웨어 공격으로부터 자신을 보호하는 방법에 대해 자세히 알아보려면 당사에 문의하십시오.
피드백