[문서읽기] 2021Ransomware Special Report 1장 : 랜섬웨어의 최근 동향

박소정·2021년 12월 24일
문서읽기
0

문서읽기

목록 보기
2/9

출처 : KISA 2021년 랜섬웨어 스페셜 리포트
보고서 작성일 : 2021.09.02

1. 랜섬웨어의 최근 동향

2015년 피해금액 3천 8백억
2021년 피해금액 23조 추정
2031년 312조 예상

글로벌적으로 랜섬웨어 피해금액이 천문학적 규모로 증가하는 추세이다.

랜섬웨어란?
몸값(Ransome)을 요구하는 악성 프로그램. 초기 랜섬웨어는 피해자의 정보자산에 접근 후 암호화를 수행할 뿐 피해자 정보를 직접 훔치지는 않았찌만, 최근 램서웨어는 기업 및 피해자와의 협상력을 높이기 위해 다크웹에 단계적으로 공개하는 등의 악질적인 방법으로 진화중이다.
개인을 대상으로 하던 공격이 기업과 공공의 안전을 위협하는 방향으로 공격 범위를 확대하고 있다.

1.1 랜섬웨어 동향 및 시사점

공격자들은 앞으로도 큰 수익을 얻기 위해 대기업들을 지속적으로 표적화 할 가능성이 높다. 최근 랜섬웨어 그룹은 암호화 전 주요 데이터를 유출한 후 다크웹 게시 위협을 미끼로 협상력을 확보한다.

최근 랜섬웨어 공격자들은 Windows 뿐만 아니라 Linux 플랫폼을 대상으로 한 랜섭웨어 버전을 출시하고 있다. Linux 플랫폼 공격은 VMware 및 클라우드 하이퍼바이저를 공격의 목표로 한다. VMware의 vSphere 및 vSAN 제품 라인에서 문제를 진단하는 Skyline Health Diagnosticss 기능을 악용한 대형 공격이 보고된 바 있으며 Linux 플랫폼 공격은 대규모 정보가 저장된 NAS 또는 대규모 Storage를 공격하는 랜섬웨어로 발전하고 있다. 최근 공격은 APT공격과 결합된 공격자 주도의 정찰 후, 대규모 파괴 행위를 수행한다. 인증 서버 공격을 통한 빠른 확산과 백업 시스템 공격을 통한 복구 불능의 상태로 피해자를 몰아 넣고 있다.

Trickbot, Oakbot 및 Dridex와 같은 상용 멀웨어를 활용하는 랜섬웨어 공격자는 네트워크에 대한 초기 액세스를 확보해 Big Game Hunting 캠페인을 수행한다. 기업으로 유포된 악성코드들을 지속적으로 업데이트해 보안 솔루션의 탐지를 회피하는 기술을 활용하고 있으며, 사용되는 해킹 툴 또한 트로이안목마, 크리덴셜스터핑, 보안솔루션 회피기술, 악성코드 난독화기술, 심층정찰기술, 악성코드 업데이트 기술, 봇 네트워크 관리 기술들이 총동원 되고 있다.

RaaS를 통한 랜섬웨어 체인 사업화로 인해 배경지식이 많지 않은 사람도 서비스에 가입하는 것만으로 랜섬웨어 공격을 손쉽게 수행할 수 있다.
(,, 나쁜넘,,들,,)

국가가 후원하는 해킹그룹들도 대규모 해킹에 참여하기 시작했다. Lazarus 및 APT27과 같은 그룹은 국가 후원 해킹단체로 추정된다.

1.2 랜섬웨어의 확산

재택근무 증가로 인해 랜섬웨어 감염률이 2배 이상 급증했다. 재택 근무 과정에서 사이버 보안 조치가 부족하기 때문으로 분석된다. 외부 사용자를 위한 VPN G/W 장비의 취약점 공격 및 내부 접속 인증정보 유출이 발생하고 있고 안전하기 않은 재택 네트워크 환경에서 악성 URL 접속을 통한 악성코드 감염 및 RDP 공격이 발생하고 있따.

공격자들이 기업을 랜섬웨어에 감염시키기 위해 사용한 공격 벡터를 살펴보면 RDP공격, 이메일을 통한 악성코드 전파, 소프트웨어 취약점 공격등이 가장 주된 공격으로 조사됐다.

1.3 랜섬웨어의 공격 벡터

RDP 공격
Shoadan과 같은 사이트를 이용해 외부에 공개되어 있는 RDP 서비스를 목표로 공격하는 것이다. 원격 접속으로 외부에 잘못 노출된 서버에 연결한 후, 내부의 Active Directory 서버 등을 통해 내부 전체 시스템을 대상으로 대규모 악성코드 전파를 수행하는 사례가 발생하고 있다.
Shodan 인텔리전스를 통해 나타난 정보를 보면 RDP 서비스가 대외적으로 노출되어 있으며 이런 시스템에 자격증명대입 공격을 통해 시스템에 접속하게 된다.

이메일 공격

  • 관심형 문서를 통한 취약점 활용 사례 : 한컴 오피스 취약점을 통해 숨겨진 사용자 알림없이 자바스크립트를 호출하는 공격 유형
  • 관심 유도 문서를 통한 사용자 클릭 유도 사례 : 문서 내 숨겨진 객체를 사용자가 클릭하면 실행하게 만드는 공격 방법, 계약 서명 관리 클라우드 시스템 문서로 위장해 사용자 매크로 실행을 유도하는 공격 방법
  • 입사 지원서 위장 공격 사례
  • 미리보기 유도 클릭 유도 사례
  • 브라우저 업데이트 유도 사례

1.4 랜섬웨어 공격 사례

국내 : 대기업의 경우 보안 수준이 높은 본사보다 보안 수준이 약한 해외 지점! 을 주로 겨냥
해외 : 상대적으로 보안 수준이 낮은 병원 또는 지자체를 대상으로한 공격 발생

+느낀점
트로이안목마, 크리덴셜스터핑, 보안솔루션 회피기술, 악성코드 난독화기술, 심층정찰기술, 악성코드 업데이트 기술, 봇 네트워크 관리 기술 더 자세히 공부할 것
랜섬웨어 시장점유율 순위에 오른것들 더 자세히 알아보기 해킹툴도!!
모르는게 아직 많지만,, 뭐,, 다 공부할거야,,진짜할거야

profile
박소정
이전 포스트

[문서읽기] 2020년 글로벌 정보보호 사업시장 동향보고서 _영국

다음 포스트

[문서읽기] 2021Ransomware Special Report 2장 : 랜섬웨어에 대한 이해

0개의 댓글