랜섬웨어 개요, 작동, 대책, 예방법
NCC 그룹의 일원인 폭스ITFoxIT 소속 사이버보안 및 위협 애널리스트는 랜섬웨어 공격을 받은 기업이 손해를 완화할 수 있도록 협상의 기제를 설명했다. 관련 개념은 팹진 해크와 종유 우가 블랙햇 유럽Black Hat Europe 2021에서 발표했으며, 직후에는 NCC 집단 블로그 포스트 게시물에 구체적인 부연 설명이 실렸다. 자료의 는 2019년과 2020년 사이에 진행된 700건이 넘는 공격자와 피해자 간 협상을 대상으로 한 연구 내용과 다음 3대 주제를 탐구한 논문입니다.
협상의 주도권을 쥔 랜섬웨어 집단
이번 연구에 사용된 자료는 주로 두 가지 랜섬웨어 유형에 집중했다. 첫번째 자료는 적들이 비교적 미숙하고 필요 몸값이 낮았던 2019년에 수집됐으며, 피해자와 랜섬웨어 집단 간 협상 681건이었다. 30건의 협상으로 구성된 두 번째 자료는 랜섬웨어 공격이 전 세계 기업에 치명적인 위협이 된 2020년 말과 2021년 초에 수집됐습니다. 평가 결과, 랜섬웨어 운영의 성숙도가 향상된 것으로 드러났다.
범죄 집단은 공격 비용을 계산하는 한편, 피해자 조직의 감염 장치서버 수, 직원 수, 판단 매출액, 언론에 노출 시 미칠 영향 등 여러 변수에 근거한 몸값 책정 방안을 시행하고 있습니다. 이를 통해 공격자들은 피해자가 어느 정도의 몸값을 낼 지 협상에 들어가기도 전에 제대로 예측할 수 있어요. 그러면 피해자 조직은 당장 불리한 관련하여 처했습니다.
Hive 랜섬웨어
지난해부터 해외 보안 관련 기업들의 보고서에 의하면 Hive 랜섬웨어를 주의해야 한다고 이야기하고 있습니다. Hive 랜섬웨어는 2021년 6월 처음 등장하여 보안이 제대로 갖추어지지 않는 기업들을 대상으로 손해를 주고 있습니다. Hive 랜섬웨어는 해커가 윈도우의 취약점을 파고들어 시스템에 침투하고 파일 확장자를 .hive로 변화하는 랜섬웨어입니다. 팔로알토 보고서에 의하면 처음 Hive 랜섬웨어가 실행되면 2개의 배치 스크립트를 삭제한다고 합니다.
hive.bat, 섀도우 복사본인 shadow.bat 두 개의 배치 스크립트를 삭제하고 암호화된 파일에 randomized characters.hive 확장자로 변경합니다. FBI 보고서에 의하면 hive.bat, shadow.bat, Winlo.exe, 7zG.exe, Winlodump64SCY.exe 자료를 사용한다고 합니다.
2 랜섬웨어 감염 경로
랜섬웨어는 보안이 취약한 웹사이트, 유무선 네트워크, 이메일, SNS, 첨부파일, 단축 URL, 파일 공유 사이트 등 여러가지 방법을 통해 감염되는데요. 믿음직한 기관이나 대상을 정교하게 사칭하기 때문에 구분이 어렵습니다. 소프트웨어의 취약점을 파고들어 불특정 다수를 감염시키거나웜 형태, 보안 관리 수준이 취약한 틈을 타 서버에 침투하는 방식타깃형으로 이루어집니다.
공 CDDVD블루레이
데이터를 보관할 수 있는 공 CDDVD블루레이 미디어는 명확하게 보관할 수 있는 방법 중 하나입니다. 무조건적으로 랜섬웨어 공격자가 공격하지 못하는 형태입니다. 하지만 공 CDDVD블루레이의 경우 크기가 적을뿐더러 백업자료를 기록하는데도 시간이 많이 소요됩니다. 미디어매체 또한 수명이 보통 1년 내 외로 잡기 때문에, 그 이상 보관합니다. 보시면 미디어 자체가 망가져 데이터 복원이 힘들 수 있어요.
랜섬웨어 복구법
암호화된 자료를 완벽하게 복구출하는 방법은 랜섬웨어에 기록된 대로 돈을 지불하여 암호키를 받는 방법이 가장 효과적이고 빠르긴 합니다. 하지만 그대로 암호키를 줄 지도 미지수이고, 정보의 양에 따라서 가격이 터무니없이 비쌀 수 있기에 다른 방법도 찾아봐야 합니다. 그건 바로 랜섬웨어 복구라고 검색을 했을 때 나오는 복구를 전문으로 해주는 회사에 의뢰해보는 것입니다. 무수히 많은 복구 업체들이 있으니 잘 살펴보시고 찾아가는 것을 추천드리는데요. 복구 업체를 고르 때 참고할만한 팁을 드리자면, 규모가 있는 기업 고르기, 선금을 요구출하는 회사는 피하기, 수수료가 지나치게 싼 곳은 의심하기 등이 있습니다.
보통 복구 업체의 경우 잠긴 자료를 해독해서 암호키를 알아낸다고 하는데요. 랜섬웨어 본연의 암호가 고도의 암호로 걸려있으면 복구가 힘들 수도 있다고 합니다.
랜섬웨어 협상 접근 방법 5가지
연구진은 이런 협상 과정을 보완할 간단하면서도 유용한 방법을 소개했다. 이를테면, 테스트 파일의 복호화, 만일 몸값을 내게 될 경우 파일 삭제의 증거, 적이 조직을 해킹한 방법에 대한 설명 등을 요청하는 것입니다. 회사는 몸값을 지불했는데도 파일이 유출되거나 팔리는 상황에도 대비해야 합니다.
자주 묻는 질문
협상의 주도권을 쥔 랜섬웨어
이번 연구에 사용된 자료는 주로 두 가지 랜섬웨어 유형에 집중했다. 궁금한 사항은 본문을 참고하시기 바랍니다.
Hive 랜섬웨어
지난해부터 해외 보안 관련 기업들의 보고서에 의하면 Hive 랜섬웨어를 주의해야 한다고 이야기하고 있습니다. 좀 더 구체적인 사항은 본문을 참고해 주세요.
2 랜섬웨어 감염 경로
랜섬웨어는 보안이 취약한 웹사이트, 유무선 네트워크, 이메일, SNS, 첨부파일, 단축 URL, 파일 공유 사이트 등 여러가지 방법을 통해 감염되는데요. 구체적인 내용은 본문을 참고 해주시기 바랍니다.