서비스형 랜섬웨어(RaaS)를 사용하면 숙련된 공격자와 숙련되지 않은 공격자 모두 랜섬웨어 도구를 임대하여 공격을 실행할 수 있습니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
서비스형 랜섬웨어(RaaS)는 누구나 가입하여 랜섬웨어 공격을 수행하기 위한 도구를 사용할 수 있는 범죄 기업의 비즈니스 모델입니다.서비스형 소프트웨어(SaaS) 또는 서비스형 플랫폼(PaaS) 등의 다른 서비스형 모델과 마찬가지로 RaaS 고객은 기존 소프트웨어 배포 모델에서처럼 랜섬웨어 서비스를 소유하는 것이 아니라 임대합니다.
랜섬웨어는 맬웨어로, 보통 암호화를 통해 피해자의 시스템이나 파일을 잠급니다.피해자는 랜섬웨어 공격 배후에 있는 당사자에게 랜섬을 지급해야만 데이터에 대한 액세스 권한을 되찾을 수 있습니다.랜섬웨어는 연간 수십억 달러에 달하는 지하 범죄 세계의 주요 산업이 되었습니다.
많은 사람이 랜섬웨어와 같은 사이버 공격의 배후에 고도로 숙련된 프로그래머가 있다고 생각하지만, 많은 공격자는 코드를 직접 작성하지 않으며 심지어 작성 방법조차 모를 수도 있습니다. 코딩 기술을 갖춘 사이버 범죄자는 자신이 개발한 익스플로잇을 직접 사용하지 않고 판매하거나 대여하는 경우가 많습니다.
랜섬웨어는 "서비스형" 모델을 사용하는 사이버 범죄 산업의 한 분야일 뿐입니다.공격자는 DDoS 도구를 임대하거나, 도난당한 자격 증명 목록에 가입하거나, 봇넷을 고용하거나, 뱅킹 트로이 목마를 임대할 수도 있습니다.
RaaS 서비스는 다양한 수익 모델을 사용합니다. 공급자는 월 정액제 구독료를 청구하거나, 고객 수익의 일정 비율을 가져가거나, 이 두 가지 모델을 혼합하여 사용하거나, 일회성 라이선스 요금을 청구할 수 있습니다. RaaS 고객은 계정을 생성하고 첫 결제(보통 비트코인)를 하면 사용하려는 맬웨어 유형을 선택할 수 있습니다.
결제가 완료되면 공격자는 맬웨어를 배포하고 피해자를 감염시키는 캠페인을 시작합니다. 랜섬웨어 공격자는 대부분 피싱 또는 소셜 엔지니어링 캠페인을 사용하여 사용자를 속여 맬웨어를 실행하도록 유도합니다. (이러한 방법은 제로데이 익스플로잇이나 백도어 액세스를 구매하는 것과 비교하면 상당히 저렴합니다.) 맬웨어가 실행되면 피해자의 컴퓨터가 암호화되어 사용할 수 없게 되고, 공격자는 랜섬을 어디로 보내야 하는지에 대한 지침이 포함된 메시지를 표시합니다.
RaaS 공급자는 맬웨어가 제대로 작동하지 않거나 문제가 발생하는 공격자를 위해 연중무휴 24시간 고객 지원을 제공하는 경우가 많습니다. 대부분의 공급자는 고객이 질문하고 아이디어를 교환할 수 있는 커뮤니티 포럼을 운영합니다. 또한 많은 도구의 경우 랜섬웨어 공격을 실행하는 방법에 대한 단계별 가이드가 제공됩니다.
일부 RaaS 공급자는 소프트웨어를 판매하는 대상에 대해 상당히 까다로운 기준을 적용합니다. 대규모 대상을 공략할 고도로 숙련된 고객을 원할 수 있으며, 이는 서비스에 대한 좋은 홍보가 될 수 있습니다. 특정 언어를 구사하거나 서비스 사용을 시작하고 즉시 랜섬웨어 수익을 창출할 수 있는 능력 등 다른 요구 사항이 있을 수 있습니다.
고객이 대금을 지급하거나 랜섬 형태로 수익을 창출할 수만 있다면 거의 모든 사람에게 서비스를 판매할 수 있는 업체도 있습니다. 일부 고객은 충분히 정교하지 않아 적발될 수 있으므로 RaaS 공급자에게는 약간의 위험이 따릅니다.
최근 몇 년 동안 많은 RaaS 공급자는 고객에게 타겟팅하도록 허용할 수 있는 업종에 대해 더욱 신중을 기하고 있습니다. 예를 들어, 중요한 인프라나 의료 시설에 대한 공격은 사람의 건강에 부정적인 영향을 미치거나 심지어 사망에 이를 수 있으므로 RaaS 이를 공급자가 금지할 수 있습니다. 이러한 극단적인 사건은 RaaS 시장에 대한 과도한 관심을 불러일으키며, RaaS 공급자는 은행 계좌가 아닌 다른 사람의 신체적 건강에도 영향을 미치는 것에 대해서는 도덕적으로 반대할 수 있습니다.
최근 몇 년 동안 RaaS를 사용하는 공격이 일반화되었습니다. 몇 가지 예를 들어보겠습니다.
RaaS는 컴퓨터와 인터넷 연결만 있으면 누구나 랜섬웨어 공격을 수행할 수 있는 이 수익성 높은 사이버 범죄의 진입 장벽을 크게 낮추었습니다. 이러한 이유로 RaaS 공격은 앞으로도 계속 확산될 가능성이 높습니다.
클라우드 서비스와 마찬가지로 RaaS 서비스는 인터넷에서 매매됩니다.RaaS는 일반적으로 다크웹의 맬웨어 포럼을 통해 배포됩니다.("다크 웹"은 인터넷의 일부로, 사용자의 위치와 IP 주소를 숨겨주는 Tor 브라우저를 통해서만 액세스할 수 있습니다.)
RaaS도 다른 산업과 마찬가지로 경쟁이 치열하며 많은 공급자가 공격적으로 서비스를 마케팅합니다. RaaS 공급자는 트위터 계정, 웹 사이트, 동영상 콘텐츠 등의 마케팅 자산을 보유합니다. 이들은 비즈니스를 활성화하기 위해 마케팅 캠페인을 진행하는 경우가 많습니다. 대부분의 RaaS 도구에는 사용자 리뷰와 커뮤니티 포럼도 포함됩니다.
조직에서는 여러 보안 조치를 통해 서비스형 랜섬웨어 공격과 일반적인 맬웨어 공격 모두로부터 스스로를 방어할 수 있습니다.
RaaS 공격 방어에 대해 자세히 알아보려면 랜섬웨어 예방 방법을 참조하세요.