랜섬웨어 공격자들, 갈취 전술 확대
위험성을 높이고 협상을 어렵게 만드는 7가지 동향
랜섬웨어 캠페인은 비즈니스처럼 실행됩니다
랜섬웨어에서의 "빅게임 헌팅"의 출현으로 범죄자들은 피해자를 선택하고 혼란을 극대화하며 랜섬 지급을 장려하는 방법에 창의력을 발휘하고 있습니다. 이 전술에는 가치가 높고 세간의 이목을 끄는 표적을 찾고 공격 타이밍을 맞춰 광범위한 피해를 입히는 것이 포함됩니다.
피해자는 교육, 의료, 정부 부문과 같이 가동 중지 시간의 영향을 가장 많이 받는 조직인 경향이 있습니다.
랜섬웨어 범죄자가 조직을 갈취하는 방법은 2019년 이후 극적으로 발전했습니다. 증가하는 랜섬 요구 외에도 압력을 가하는 범죄자들의 기법이 더욱 집중적이고 창의적이며 공개적이 되어갑니다. 이러한 새로운 문제에 대응하려면 Zero Trust에 대한 포괄적인 접근 방식을 통해 공격자가 공격 벡터를 악용하고 내부망에서 이동하는 능력을 차단해야 합니다.
범죄자들이 '갈취 경제' 의 틀 안에서 압력을 가하는 방법
랜섬웨어 전략은 끊임없이 변화하지만, 지난 2년 동안 범죄자들의 공격은 갈취 전술이 훨씬 더 고통스럽고 가시적이며 훨씬 더 큰 위험을 내포하고 있다는 공통된 주제를 가지고 있습니다. 목표는 더 이상 파일을 암호화하는 것이 아니라 피해자에게 발생할 잠재적 영향이 너무 커서 랜섬을 지급하는 것이 유일한 옵션처럼 느껴지도록 하여 성공률을 높이는 것입니다. 다음은 최근에 공격자가 사용한 7가지 전술입니다.
1. 이중 갈취 — 데이터 유출 및 게시
2019년 이전에는 범죄자가 유출할 의도로 데이터를 훔치는 경우가 드물었습니다. 그러나 한 분석에 따르면 2021년 3분기까지 공격의 83.3%가 데이터 유출 위협과 관련이 있습니다. 다양한 랜섬웨어 카르텔에서는 협상을 수행하고 지급을 장려하는 방법에 변화를 줍니다. Clop 랜섬웨어 그룹과 같은 일부는 암호화 키를 얻는 것과 파일 유출을 방지하는 것 등 두 가지를 위해 별도의 랜섬을 지급하도록 요구합니다. 이는 조직에 복원할 백업이 있더라도 데이터 개인 정보 보호와 관련된 평판 손상이나 벌금을 피하기 위해 비용을 지급해야 할 수도 있음을 의미합니다. 공격자는 선의의 표시로 일부 초기 파일(무료 평가판에 해당하는 랜섬웨어)에 대한 액세스 권한을 반환할 수도 있습니다. 또는 일부 자료를 즉시 유출하고 나머지는 시간이 지나면서 조금씩 늘려가며 게시할 수도 있습니다.
2. 삼중 갈취 — 제3자 위협
삼중 갈취의 경우 공격자는 고객, 비즈니스 파트너, 피해자 조직과 관련이 있는 기타 제3자에게 연락합니다. 어떤 경우에는 제3자에게 지급을 요구하기도 하며, 이는 어느 심리 치료 클리닉에 대한 공격의 사례입니다. 환자들은 치료 과정의 기록이 온라인에 게시되는 것을 원하지 않으면 비용을 지급하라는 요구를 받았습니다. 또 다른 경우에는 범죄자가 수신자에게 피해자 조직에 연락하여 랜섬 지급을 촉구하도록 지시하여 강압 노력의 일부를 떠넘깁니다.
3. 최대한으로 피해를 입히기 위한 타이밍 공격
FBI에 따르면 일부 조직은 합병, 인수, 제품 발표와 같은 임박한 사건을 기반으로 표적이 됩니다.평판 손상과 주가 급락의 위험은 랜섬 요구를 더욱 설득력 있게 만듭니다.FBI에 따르면 개인 협상에 따른 합병의 경우에도 이러한 사건이 발생한다고 합니다.범죄자는 네트워크에 침투하는 동안 비공개 데이터를 찾아내어 대상을 식별하고 지급 동기를 부여하려고 합니다.유출이 되면 경쟁 우위가 잠식되므로 제품 청사진 또는 로드맵의 출시와 관련된 경우 조직에는 특히 파괴적인 영향이 미칠 수 있습니다.FBI는 공격자가 혼란을 일으키기 쉬운 휴일과 주말에 자주 공격한다는 사실을 발견했습니다.
4. 가상 위협과 물리적 위협
범죄자들은 여러 채널에 걸쳐서 피해자를 압도하고 괴롭힙니다. 일부 그룹은 네트워크에 침투하면서 얻은 정보를 사용하여 직원에게 전화를 걸고 이메일을 보냅니다. 예를 들어, Egregor 랜섬웨어를 사용하는 범죄자들은 조직의 자체 프린터로 랜섬 메모를 원격으로 인쇄했습니다. 일부 범죄자는 카운트다운 타이머를 사용하여 랜섬 제안이 만료되거나 요구 금액이 늘어나게 되는 시기를 강조합니다.
5. 공개 망신 사이트의 데이터 유출
지난 2년 동안 훔친 데이터를 게시하기 위한 웹 사이트가 수십 개 등장했습니다. 범죄자들은 이 페이지에 지 랜섬을 지급하지 않는 피해자의 데이터를 게시하거나 파일을 하나씩 유출하여 협상 중 압박 강도를 높입니다. 개인 데이터를 게시하면 피해를 입은 조직에서 위반 사항을 당국에 보고해야 하며, 당국에서는 벌금을 부과할 수 있습니다.
6. 더 밝은 스포트라이트 유인하기
공격의 가시성을 높이기 위한 전술은 매우 다양합니다.예를 들어, 공격자는 언론인에게 연락하여 비용을 지급하라는 압력을 높이고 조직을 데이터 개인 정보 보호 법적 분쟁에 노출시킬 수 있습니다.Ragnar Locker 그룹에서는 도난당한 자격 증명으로 Facebook 광고를 구매한 한 공격에 주목했습니다.일부 랜섬웨어 그룹은 피해자의 데이터를 경매에 부쳐 전 세계적으로 보상을 얻으려고 시도합니다.많은 헤드라인을 장식했던 공격 중 하나는 유명 로펌의 고객 데이터를 경매에 부쳤던 REvil 그룹이었습니다.
7. DDoS 공격 추가하기
조직에서는 이미 법 집행 기관 및 영향을 받는 고객에게 연락하고, 파일 백업본을 찾으며, 내부망 이동을 최소화해야 하는 과중한 부담을 안고 있지만, 일부 공격자는 분산 서비스 거부 공격을 위협하거나 사주합니다. 바쁜 시간 동안 네트워크가 압도되면 스트레스가 가중되고 더 많은 IT 리소스가 묶입니다.
새롭고 극단적인 갈취 전술의 동인
랜섬웨어가 수십 년 동안 존재해 왔는데 갈취 전술이 갑자기 바뀐 이유는 무엇일까요?
범죄자들은 이제 피해자 조직에서 온라인 상태를 유지하는 데 훨씬 더 큰 위험이 따르므로 랜섬 지급을 더 강력하게 추진할 수 있습니다. 생활의 많은 부분이 온라인에서 이루어지므로 다운타임을 피하는 것이 중요합니다. 범죄자들은 직원의 원격 연결, 학생 수업, 환자 진료 예약, 고객 주문, 일상 업무의 다른 측면 등이 방해받을 경우 얼마나 파괴적인 결과가 나올지 알고 있습니다. 조직에 복원할 백업본이 있더라도 시간이 많이 걸릴 경우 랜섬을 지불하는 것보다 재정 면에서 더 큰 타격을 입을 수 있습니다.
지난 2년 동안 공격 전술이 발전한 다른 요인은 다음과 같습니다.
서비스형 랜섬웨어의 부상. 조직에서 클라우드 기반 서비스를 통해 방화벽을 구매할 수 있는 것처럼 기술 능력과 관계없이 누구나 랜섬웨어를 대여하고 배포할 수 있습니다.정액으로 가격이 책정되거나 받은 랜섬의 일정 비율을 지급해야 하는 이 모델 때문에 공격을 시작하기 위한 진입 장벽이 낮아집니다.
놀라울 정도로 높은 수익률.추정에 따르면 랜섬웨어의 수익률은 98%입니다.다른 불법 기업에 비해 랜섬웨어는 체포 및 사망 위험이 상당히 낮으므로 시장 진입자에게 더욱 매력적입니다.
개인 데이터 보호 의무.GDPR과 같은 개인 정보 보호 규정의 제정 및 시행에 따라 데이터 유출이 되면 피해를 입은 조직에 상당한 벌금이 부과되고 데이터가 노출된 사람들이 소송을 제기할 가능성이 있습니다.이는 범죄자가 표적을 선택하고 랜섬을 계산하는 방법에 영향을 미치며, 범죄자는 조직에서 사고 대응을 계획할 때 비용 편익 분석을 수행한다는 것을 알고 있습니다.
네트워크 경계 보호
특히 이러한 새로운 갈취 전술이 공격의 여파를 증가시키기 때문에 조직에서는 랜섬웨어를 방지하고 완화하는 데 도움이 되는 포괄적이고 다면적인 전략이 필요합니다.
랜섬웨어 캠페인은 여러 단계로 구성되어 있으므로 이를 막을 수 있는 기회도 많습니다.Zero Trust 보안 모델을 채택하는 것은 네트워크의 경계를 강화하고 내부망 이동을 제한하는 방법 중 하나입니다.액세스를 엄격하게 제어하고 기본적으로 사용자나 시스템을 신뢰하지 않는 이 접근 방식은 범죄자가 권한을 상승시키고 협상을 강화하기 위한 추가 활용 수단을 찾을 가능성을 줄입니다.
랜섬웨어 공격을 방지하고 완화하는 데 도움이 되는 Zero Trust의 측면은 다음과 같습니다.
최소 권한 액세스: 각 사용자에게 필요한 네트워크 부분에만 액세스 권한을 부여하면 공격이 발생할 경우 노출과 내부망 이동 가능성이 최소화됩니다.
멀티 팩터 인증: 신원 증명 수단이 두 가지 이상 필요하면 공격자는 사용자를 가장하기 더 어려워집니다.
브라우저 격리: 브라우징 활동을 클라우드 기반의 에어갭 환경으로 제한함으로써 조직에서는 악의적 사이트 및 앱으로부터 네트워크를 보호할 수 있습니다.
DNS 필터링: 사용자와 엔드포인트가 악의적 사이트를 로드하지 못하도록 하면 사용자 장치 및 전체 네트워크에서 랜섬웨어를 차단하는 데 도움이 됩니다.
사용자 및 장치 상태 확인: 엔드포인트 보안 공급자 및 ID 공급자와 지속해서 교차 확인하면 안전한 사용자 및 장치만 네트워크에 연결할 수 있습니다.
Zero Trust 서비스형 네트워크(NaaS) 플랫폼인 Cloudflare One은 보안 및 네트워킹 서비스를 결합하여 원격 사용자, 사무실, 데이터 센터를 안전하게 연결합니다. 이 플랫폼은 고위험 브라우징을 격리하고, 악의적 URL에 대한 액세스를 차단하며, 외부 침입으로부터 열린 서버 포트를 보호하므로 랜섬웨어를 방지하는 데 도움이 됩니다.
이 글은 오늘날의 기술 의사 결정자에게 영향을 미치는 최신 동향 및 주제에 대한시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
새롭고 공격적인 랜섬웨어 갈취 전술
이러한 변화하는 방법을 주도하는 요인
공격자가 네트워크 침투 중에 획득한 데이터를 활용하여 협상에 동기를 부여하는 방법
랜섬웨어 완화에서 Zero Trust 원칙의 중요성