VNDirect 사건과 랜섬웨어를 위험하게 만드는 요소는 무엇인가?
2024년 3월 24일, 베트남의 VNDirect Securities Company가 국제 랜섬웨어 공격 지도에서 최신 핫스팟이 되었습니다. 이 공격은 고립된 사례가 아닙니다.
랜섬웨어는 피해자 시스템의 데이터를 암호화하고 이를 해독하는 대가로 돈을 요구하는 악성 소프트웨어의 일종으로, 오늘날 전 세계에서 가장 널리 퍼지고 위험한 사이버보안 위협 중 하나가 되었습니다. 사회 생활의 모든 분야에서 디지털 데이터와 정보 기술에 대한 의존도가 커지면서 조직과 개인은 이러한 공격에 취약해지고 있습니다.
랜섬웨어의 위험은 데이터를 암호화하는 능력뿐 아니라 확산되면서 몸값을 요구하는 방식에도 있습니다. 이를 통해 해커가 불법적인 수익을 낼 수 있는 금융 거래 채널을 만들 수 있습니다. 랜섬웨어 공격은 정교하고 예측할 수 없기 때문에 오늘날 사이버 보안이 직면한 가장 큰 과제 중 하나입니다.
VNDirect에 대한 공격은 랜섬웨어를 이해하고 이를 보호하는 것이 얼마나 중요한지 뚜렷하게 일깨워 주는 사건입니다. 랜섬웨어의 작동 방식과 위협을 이해해야만 사용자 교육, 기술 솔루션 적용, 중요한 데이터와 정보 시스템을 보호하기 위한 포괄적인 예방 전략 구축 등의 효과적인 보호 조치를 수립할 수 있습니다.
랜섬웨어의 작동 방식
사이버 보안의 가장 큰 위협인 랜섬웨어는 정교하고 다양한 방식으로 작동하며, 피해자에게 심각한 결과를 초래합니다. 랜섬웨어의 작동 방식을 더 잘 이해하려면 공격 프로세스의 각 단계를 자세히 살펴봐야 합니다.
전염병
랜섬웨어가 시스템을 감염시키면 공격이 시작됩니다. 랜섬웨어가 피해자의 시스템에 침투하는 데 사용하는 일반적인 방법은 다음과 같습니다.
피싱 이메일: 악성 파일이 첨부되었거나 악성 코드가 포함된 웹사이트로 연결되는 가짜 이메일입니다. 보안 취약점 악용: 패치되지 않은 소프트웨어의 취약점을 이용해 사용자 상호 작용 없이 자동으로 랜섬웨어를 설치합니다. 멀버타이징(Malvertising): 인터넷 광고를 이용해 악성 코드를 배포하는 행위. 악성 웹사이트에서의 다운로드: 사용자는 신뢰할 수 없는 웹사이트에서 소프트웨어나 콘텐츠를 다운로드합니다.
암호화
랜섬웨어는 일단 감염되면 피해자 시스템의 데이터를 암호화하는 과정을 시작합니다. 암호화는 암호 해독 키 없이는 읽을 수 없는 형식으로 데이터를 변환하는 과정입니다. 랜섬웨어는 강력한 암호화 알고리즘을 사용하는 경우가 많으며, 특정 키 없이는 암호화된 데이터를 복구할 수 없습니다.
몸값 요구
랜섬웨어는 데이터를 암호화한 후 피해자의 화면에 메시지를 표시하면서 데이터 암호를 해독하려면 몸값을 지불해야 한다고 요구합니다. 일반적으로 통지서에는 지불 방법(일반적으로 범죄자의 신원을 숨기기 위해 비트코인이나 다른 암호화폐를 사용)과 지불 기한에 대한 지침이 포함됩니다. 일부 랜섬웨어 버전은 몸값을 지불하지 않으면 데이터를 삭제하거나 공개하겠다고 위협하기도 합니다.
거래 및 복호화(또는 그렇지 않음)
피해자는 이제 어려운 결정에 직면하게 됩니다. 몸값을 지불하고 데이터를 돌려받을지, 아니면 거부하고 데이터를 영원히 잃을지. 하지만 비용을 지불하더라도 데이터가 해독될 것이라는 보장은 없습니다. 사실, 이는 범죄자들이 계속해서 범죄를 저지르도록 부추길 수도 있습니다.
랜섬웨어의 작동 방식은 기술적 정교함을 보여줄 뿐만 아니라, 사용자의 속기 쉬움과 무지함을 악용하려는 의도라는 안타까운 현실을 반영합니다. 이는 피싱 이메일을 인식하는 것부터 최신 보안 소프트웨어를 유지하는 것까지, 사이버 보안에 대한 인식과 지식을 높이는 것의 중요성을 강조합니다. 랜섬웨어와 같이 끊임없이 진화하는 위협에 직면해선 교육과 예방이 그 어느 때보다 중요합니다.
랜섬웨어의 일반적인 변형
랜섬웨어 위협의 세계에서 일부 변종은 복잡성, 확산 능력, 전 세계 기업에 미치는 심각한 영향으로 두드러집니다. 다음은 7가지 일반적인 변형과 그 작동 방식에 대한 설명입니다.
REvil (소디노키비라고도 함)
특징: REvil은 랜섬웨어 즉 서비스(RaaS)의 한 변형으로, 사이버 범죄자들이 이를 "임대"하여 자체 공격을 수행할 수 있도록 해줍니다. 이로 인해 랜섬웨어의 확산과 피해자 수가 크게 늘어났습니다.
확산 방법: 보안 취약점, 피싱 이메일, 원격 공격 도구를 통한 배포. REvil은 또한 자동으로 데이터를 암호화하거나 훔치는 공격 방법을 사용합니다.
류크
특징: Ryuk는 주로 대규모 조직을 표적으로 삼아 몸값을 극대화합니다. 각 공격에 맞춰서 스스로를 맞춤 설정할 수 있는 기능이 있어서 탐지 및 제거가 어렵습니다.
확산 방법: 피싱 이메일과 Trickbot, Emotet 등의 다른 맬웨어에 감염된 네트워크를 통해 Ryuk는 네트워크 데이터를 퍼뜨리고 암호화합니다.
로빈후드
특징: Robinhood는 정교한 암호화 전략을 사용해 파일을 잠그고 큰 몸값을 요구함으로써 정부 시스템과 대규모 조직을 공격하는 능력으로 유명합니다.
확산 방법: 피싱 캠페인을 통해 확산되거나 소프트웨어의 보안 취약점을 악용합니다.
더블페이머
특징: DoppelPaymer는 데이터를 암호화하고 몸값을 지불하지 않으면 정보를 공개하겠다고 위협하여 심각한 피해를 입힐 수 있는 독립형 랜섬웨어 변종입니다.
확산 방법: 원격 공격 도구와 피싱 이메일을 통해 확산되며, 특히 패치되지 않은 소프트웨어의 취약점을 노립니다.
SNAKE (EKANS라고도 함)
특징: SNAKE는 산업 제어 시스템(ICS)을 공격하도록 설계되었습니다. 데이터를 암호화할 뿐만 아니라, 산업 공정을 방해할 수도 있습니다.
확산 방법: 피싱 및 익스플로잇 캠페인을 통해, 특히 특정 산업 시스템을 타겟으로 삼습니다.
포보스
특징: Phobos는 또 다른 랜섬웨어 변종인 Dharma와 많은 유사점을 공유하며, RDP(원격 데스크톱 프로토콜)를 통해 소규모 기업을 공격하는 데 자주 사용됩니다.
전파 방법: 주로 노출되거나 취약한 RDP를 통해 공격자가 원격으로 액세스하여 랜섬웨어를 배포할 수 있습니다.
록비트
LockBit은 랜섬웨어 즉 서비스(RaaS) 모델을 따르는 랜섬웨어 변종으로, 기업과 정부 기관을 공격한 것으로 알려져 있습니다. LockBit는 취약점 악용, 시스템 깊숙이 침투, 암호화된 페이로드 배포라는 세 가지 주요 단계로 공격을 수행합니다.
1단계 - 악용: LockBit는 피싱 이메일이나 인트라넷 서버 및 네트워크 시스템에 대한 무차별 대입 공격 등의 사회 공학적 기술을 사용하여 네트워크의 취약성을 악용합니다.
2단계 - 침투: 침투 후 LockBit은 "사후 악용" 도구를 사용하여 액세스 수준을 높이고 암호화 공격에 대비하여 시스템을 준비합니다.
3단계 - 배포: LockBit는 네트워크에서 접근 가능한 모든 장치에 암호화된 페이로드를 배포하여 모든 시스템 파일을 암호화하고 몸값 메모를 남깁니다.
LockBit는 네트워크 스캐너에서 원격 관리 소프트웨어에 이르기까지 침입 프로세스 동안 다양한 무료 및 오픈 소스 도구를 사용하여 네트워크 정찰, 원격 액세스, 자격 증명 도용, 데이터 유출을 수행합니다. 어떤 경우에는 LockBit에서 몸값 요구가 충족되지 않으면 피해자의 개인 데이터를 공개하겠다고 위협하기도 합니다.
LockBit은 복잡성과 광범위한 도달 범위로 인해 현대 랜섬웨어 세계에서 가장 큰 위협 중 하나로 여겨집니다. 조직에서는 랜섬웨어와 기타 변종으로부터 자신을 보호하기 위해 포괄적인 보안 조치를 채택해야 합니다.
다오 트룽 탄
2부: VNDirect 공격에서 랜섬웨어 방지 전략까지
[광고2]
원천
댓글 (0)