랜섬웨어를 이해하는 글---해커조직의 주요 수익수단

2021년 6월, 브라질 육류 가공 대기업 JBS SA의 미국 자회사인 JBS USA Holdings는 랜섬웨어 공격을 받아 전국 육류 공급량의 거의 5분의 1을 처리하는 회사 공장 몇 곳을 폐쇄했습니다. 공격을 해결하기 위해 지불되었습니다.

최근 몇 년 동안 랜섬웨어 공격이 자주 발생했으며, 컴퓨터 하이재킹은 인명 손실을 초래할 뿐만 아니라 에너지 및 전기 분야의 핵심 인프라를 손상시켜 공공 안전을 위협합니다.

첫 번째 레벨 제목

랜섬웨어의 과거와 현재

텍스트

텍스트

1989년 세계 최초의 랜섬웨어 "AIDS 정보 트로이 목마"라는 이름으로 출현.개발자는 1989년 하버드 대학에서 박사 학위를 받은 생물학자 조셉 포프였다. 와 디스크"AIDS 정보 - 시작하기 플로피 디스크"에서 플로피 디스크를 컴퓨터에 넣으면 다음 메시지가 표시됩니다.

몸값 메시지는 사용자가 액세스 잠금을 해제하기 위해 파나마의 우편함에 있는 PC Cyborg Corporation에 189달러를 보내야 하며 역사상 최초의 랜섬웨어가 탄생했습니다.

텍스트

텍스트

2008년 비트코인의 탄생과 함께 랜섬웨어 공격은 새로운 발전 단계인 비트코인 ​​랜섬 단계에 접어들었고, 2013년 하반기에는 랜섬웨어 형태의 악성 악성코드인 CryptoLocker라는 트로이 목마가 등장했다. Windows 운영 체제를 주요 공격 대상으로 합니다.

주로 이메일 첨부파일을 통해 전송되며, 첨부파일 실행 후 특정 형식의 파일을 암호화한 후 결제 메시지 창이 팝업됩니다.

몸값 메시지에는 지정된 시간 내에 비트코인 ​​몸값을 지불하면 파일을 복호화할 수 있고, 그렇지 않으면 개인 키가 파괴되어 더 이상 파일을 열 수 없다고 명시되어 있습니다.

텍스트

3. 폭발

이미지 설명

WannaCry 잠금 화면

텍스트

4. 플랫폼화

텍스트

5. 다양화

첫 번째 레벨 제목

여러 형태의 랜섬웨어

다양한 형태의 랜섬웨어 공격이 있으며 주로 데이터 암호화, 시스템 잠금, 데이터 유출 및 사용자 위협으로 나눌 수 있습니다.

암호화된 데이터: 피해자가 가장 많고 사회적 영향력이 가장 큰 공격 형태이기 때문에 이 형태가 가장 일반적이다. , 데이터 문서 등에서 공격자의 개인 키가 없으면 잠긴 파일을 해독할 수 없습니다. 그런 다음 사용자에게 프로필 데이터를 열려면 가상 화폐를 지불하여 복호화를 완료해야 한다고 알립니다.

잠금 시스템: 시스템이 잠긴 후에는 시스템도 로그인할 수 없습니다. 사용자.

2019년 5월 초, 해커들은 미국 메릴랜드주 볼티모어에 있는 약 10,000대의 정부 컴퓨터에 침입하여 통제하고 비트코인 ​​13개($100,000 상당)를 요구했지만, 시 정부는 몸값 지불을 거부했습니다. 공무원은 이메일 계정에 접속할 수 없으며 일반 시민은 수도 요금, 재산세, 주차 위반 딱지 등 기본적인 시립 서비스를 이용할 수 없습니다.

데이터 유출: 이 유형의 양식은 주로 호텔, 기업, 병원 등에서 구현됩니다. 해커는 관련 기밀 데이터(사용자 개인 정보, 비밀 문서 등)를 훔칩니다. 이 데이터 배치는 특정 시간에 공개됩니다.

사용자를 위협하다첫 번째 레벨 제목

랜섬웨어의 확산

랜섬웨어는 빠르게 진화하고 있으며 많은 악성코드의 전파 특성을 가지고 있으며, 새로운 랜섬웨어는 빠르게 확산되어 기업 내 전체 네트워크를 감염시킬 수 있으며, 접근 가능한 다양한 데이터를 암호화하여 많은 기업에서도 이로 인해 비즈니스 손실을 초래하고 있습니다. 기업의 보안 방어에 대한 거대한 도전.

이메일

공격자는 공격자의 경계를 줄이기 위해 일부 유명 기관이나 브랜드, 소셜 네트워킹 사이트의 인터페이스와 매우 유사하게 보이는 이메일을 전송하여 랜섬웨어를 유포하고 공격자는 이메일에 직접 악성 링크를 삽입하는 한 공격자가 링크를 클릭하거나 첨부 파일을 열면 랜섬웨어가 포함된 파일이 자동으로 다운로드되고 트리거됩니다.

사례: 2019년 3월 11일부터 해외 해커 조직이 우리나라 관련 정부 부처를 대상으로 협박 바이러스 이메일 공격을 시작했습니다. 메일 내용은 "3월 11일 오후 3시 경찰서에 꼭 신고하세요!" 이며, 첨부파일명은 "03-11-19.rar" 입니다.

연구 결과 랜섬웨어의 버전 번호는 GANDCRAB V5.2로 중국에서 가장 활동적인 랜섬웨어 중 하나로 메일 전송이 가장 널리 사용되는 전송 방식이며 RSA+Salsa20 암호화를 사용하기 때문에 피해자 사용자는 얻을 수 없습니다. 바이러스 작성자의 개인 키를 해독할 수 없습니다. 바이러스가 실행된 후 사용자 호스트의 하드 디스크에 있는 데이터를 암호화하고 피해자에게 몸값을 지불하도록 요구합니다.

웹사이트 및 다운로드

사용자는 감염된 웹 사이트를 탐색하고 소프트웨어를 다운로드하여 실제로는 랜섬웨어가 포함된 랜섬웨어인데 정품 소프트웨어라고 오인하도록 사용자를 오도합니다.

사례: 2016년 Apple 운영체제를 대상으로 한 최초의 랜섬웨어인 KeRanger가 출시되어 이미 감염된 Transmission BitTorrent 클라이언트의 설치 프로그램을 통해 빠르게 확산되었습니다. 2016년 3월 4일과 5일에 Transmission을 다운로드한 Mac OS X 사용자는 맬웨어의 위험에 노출되었습니다.

사용자가 랜섬웨어를 설치하면 KeRanger는 약 300개의 서로 다른 파일 형식을 검색하고 찾은 모든 파일을 암호화합니다. 이후 랜섬웨어는 피해자에게 1비트코인의 몸값 지불을 요구하는 랜섬노트를 띄우고 피해자에게 다크웹을 통해 몸값 지불을 완료하도록 요청한다.

악용으로 확산

공격자들은 많은 사람들이 패칭이 쓸모없고 시스템 속도를 늦출 것이라고 생각한다는 오해를 포착한 다음 방금 복구되었거나 확산에 별로 주의를 기울이지 않은 취약점을 사용합니다.

사용자가 제때 시스템을 업데이트하거나 패치를 설치하지 않으면 사용자가 부적절한 작업을 수행하지 않더라도 경고 없이 랜섬웨어에 감염될 수 있습니다. 이러한 유형의 랜섬웨어는 파괴적인 기능 면에서 기존의 랜섬웨어와 다르지 않으나, 전송 방식이 다르기 때문에 예방이 더 어려우며, 사용자는 보안 인식을 개선하고 취약한 소프트웨어를 업데이트하거나 해당 보안 패치를 즉시 설치해야 합니다. 가능한.

사례: WannaCry는 3.3MB 크기의 "웜과 유사한" 랜섬웨어 소프트웨어로 NSA(국가안보국, 미국 국가안보국)에서 유출된 위험한 취약점 "EternalBlue"를 사용하여 범죄자들이 유포합니다.

첫 번째 레벨 제목

몸값으로 가상 통화

기술적인 면에서 랜섬웨어와 가상화폐의 조합이 완벽하다는 점은 인정할 수밖에 없습니다 가상화폐가 널리 보급되기 전에는 바이러스 제작자가 랜섬웨어로 직접적으로 이익을 얻는 것이 쉽지 않습니다. 인질이나 인질로 잡힌 피해자는 현금이나 계좌 이체를 해야 혜택을 받을 수 있는데, 경찰에 잡히기가 너무 쉽다.

따라서 지난 수십 년 동안 랜섬웨어는 오랫동안 존재했지만 대규모로 폭발하지 않고 큰 영향을 미쳤습니다. 가상화폐의 출현은 이 균형을 깨뜨렸다.피해자는 가상 화폐의 형태로 지불한다.가상 화폐의 익명성과 글로벌 유통은 국경 간 거래를 매우 빠르게 할 뿐만 아니라 어느 정도 감독을 피할 수 있다.

랜섬웨어에 피해를 입은 기업은 피해자에게 가상 화폐로 몸값을 지불할 것을 요청하는 랜섬 노트를 받고 거래소에서 가상 화폐를 구매하는 방법에 대한 지침을 포함하는 경우가 많습니다.

첫 번째 레벨 제목

손절매 및 주의사항

랜섬웨어의 공격을 받은 것으로 확인되면 손실이 더 확대되지 않도록 적시에 필요한 손절매 조치를 취해야 합니다.

서버가 랜섬웨어에 감염된 것을 확인한 후 감염된 호스트를 즉시 격리해야 합니다. 한편으로는 감염된 호스트가 연결된 네트워크를 통해 다른 서버를 자동으로 계속 감염시키는 것을 방지하고, 다른 한편으로는 해커가 감염된 호스트를 통해 다른 서버를 계속 조작하는 것을 방지하는 것입니다.

격리를 위한 일반적인 작동 방법은 연결 해제 및 종료입니다. 네트워크 연결 해제의 주요 작업 단계에는 네트워크 케이블을 뽑고, 네트워크 카드를 비활성화하고, 노트북인 경우 무선 네트워크를 끕니다.

감염된 호스트가 격리된 후 LAN의 다른 시스템을 확인하여 핵심 비즈니스 시스템이 영향을 받는지, 생산 라인이 영향을 받는지, 백업 시스템이 암호화되어 있는지 확인하여 감염 범위를 결정해야 합니다.

또한 백업 시스템이 안전하다면 몸값 지불을 피하고 파일을 원활하게 복구할 수 있습니다.

따라서 서버가 랜섬웨어에 감염되어 감염된 호스트가 격리된 것이 확인되면 즉시 핵심 업무 시스템과 백업 시스템을 점검해야 한다.

예방, 제어 및 치료가 불가능한 랜섬웨어의 특성에 따라 Zhifan Technology 보안 전문가는 모든 사람에게 다음과 같이 상기시킵니다.

비즈니스 사용자: 네트워크 보안 보호 시스템을 구축하고, 데이터 보안 보호를 강화하고, 방화벽을 설정하고, 적시에 바이러스 데이터베이스를 업데이트하고, 위협 정보를 광범위하게 획득하고, 엔터프라이즈 바이러스 조기 경고 메커니즘을 구축합니다.

개인 사용자: 네트워크 보안 인식을 개선하고, 운영 체제를 정기적으로 패치하고, 출처를 알 수 없는 이메일, 링크 및 소프트웨어를 클릭하지 말고, 중요한 데이터와 문서를 적시에 백업하십시오.