사이버범죄자들은 점점 더 전략적이고 전문적으로 변하고 있습니다. 랜섬. 그들은 증가하는 서비스형 사이버 범죄 공급망을 활용하는 등 합법적인 비즈니스 운영 방식을 점점 더 모방하고 있습니다.
이 문서에서는 네 가지 주요 랜섬웨어 동향을 설명하고 이러한 새로운 공격의 희생양이 되지 않는 방법에 대한 조언을 제공합니다.
1. 증가하는 IAB
기업 침해, 자격 증명 도용, 해당 액세스 권한을 다른 공격자에게 판매하는 작업을 전문으로 하는 초기 액세스 브로커(IAB)의 성장에서 알 수 있듯이 사이버 범죄의 수익성은 더욱 높아지고 있습니다. IAB는 상상할 수 있는 거의 모든 디지털 범죄를 실행하기 위한 정교한 도구 체인을 구축하기 위해 범죄자가 구매할 수 있는 기성 서비스의 그림자 경제인 서비스형 사이버 범죄 킬 체인의 첫 번째 링크입니다.
IAB의 주요 고객은 랜섬웨어 운영자로서 이미 만들어진 피해자에 대한 액세스 비용을 기꺼이 지불하는 동시에 악성 코드를 강탈하고 개선하는 데 노력을 집중합니다.
2021년에는 IAB 목록 1,300개 KELA 사이버 인텔리전스 센터가 모니터링하는 주요 사이버 범죄 포럼에서 거의 절반이 10개 IAB에서 나왔습니다. 대부분의 경우 액세스 가격은 $1,000~$10,000였으며 평균 판매 가격은 $4,600였습니다. 사용 가능한 모든 서비스 중에서 VPN 자격 증명 및 도메인 관리자 액세스가 포함되었습니다. 가장 가치있는.
2. 레이더를 피해 날아다니는 파일리스 공격
사이버 범죄자들은 랜섬웨어를 성공적으로 배포하기 위해 탐지를 회피할 가능성을 높이기 위해 LotL(living off-the-land) 및 파일리스 기술을 사용하여 지능형 지속 위협(APT) 및 국가 공격자의 신호를 받고 있습니다.
이러한 공격은 대상 환경에서 흔히 발견되는 합법적이고 공개적으로 사용 가능한 소프트웨어 도구를 활용합니다. 예를 들어, 91%의 DarkSide 랜섬웨어 공격에는 합법적인 도구가 사용되었으며, 악성 코드를 사용한 공격은 9%에 불과했습니다. 보고서 Picus 보안에 의해. 100% 파일리스 공격인 다른 공격도 발견되었습니다.
이런 방식으로 위협 행위자는 프로세스 이름이나 파일 해시와 같은 "알려진 불량" 지표를 피하여 탐지를 회피합니다. 신뢰할 수 있는 애플리케이션의 사용을 허용하는 애플리케이션 허용 목록도 특히 유비쿼터스 앱의 경우 악의적인 사용자를 제한하지 못합니다.
3. 로우 프로파일 대상을 표적으로 삼는 랜섬웨어 그룹
주목받는 식민지 파이프 라인 2021년 XNUMX월 랜섬웨어 공격은 중요 인프라에 심각한 영향을 미쳐 국제 및 정부 최고 대응.
이러한 헤드라인을 장식하는 공격은 랜섬웨어 운영자에 대한 조치를 취하기 위해 법 집행 기관과 국방 기관의 조사와 공동 노력을 촉발시켜 범죄 활동을 방해하고 체포 및 기소하는 결과를 낳습니다. 대부분의 범죄자는 자신의 활동을 감시받는 것을 선호합니다. 잠재적인 목표의 수를 고려하면 운영자는 자신의 운영에 대한 위험을 최소화하면서 기회주의적으로 대처할 수 있습니다. 랜섬웨어 공격자는 IAB가 제공하는 상세하고 세분화된 기업 정보를 통해 피해자를 표적으로 삼는 데 훨씬 더 선별적이 되었습니다.
4. 내부자는 파이 한 조각으로 유혹을 받습니다.
또한 랜섬웨어 운영자는 악성 직원을 모집하여 액세스 권한을 얻을 수 있다는 사실도 발견했습니다. 전환율은 낮을 수 있지만 노력한 만큼의 보상을 받을 수 있습니다.
A Hitachi ID 조사 7년 2021월 4일부터 2022년 65월 XNUMX일 사이에 조사한 결과, 응답자의 XNUMX%가 초기 액세스 제공을 돕기 위해 위협 행위자가 직원에게 접근했다고 답했습니다. 고용주에 대한 불만이 가장 일반적인 동기이지만, 미끼를 물게 되는 내부자는 회사를 기꺼이 배신하려는 이유가 다양합니다.
이유가 무엇이든, 랜섬웨어 그룹의 제안은 유혹적일 수 있습니다. Hitachi ID 조사에서 연락한 직원 중 57%는 500,000달러 미만의 제안을 받았고, 28%는 500,000~1만 달러 사이의 제안을 받았으며, 11%는 1만 달러 이상의 제안을 받았습니다.
보호 개선을 위한 실제 단계
여기에 논의된 진화하는 전술은 랜섬웨어 운영자의 위협을 증가시키지만 조직이 스스로를 보호하기 위해 취할 수 있는 조치가 있습니다.
- 제로 트러스트 모범 사례를 따르세요. 다단계 인증(MFA) 및 최소 권한 액세스와 같은 기능을 사용하여 손상된 자격 증명의 영향을 제한하고 비정상적인 활동을 탐지할 가능성을 높입니다.
- 내부자 위협 완화에 중점을 두고, 이는 직원뿐만 아니라 외부 행위자(액세스 권한을 얻은 후에는 내부자로 나타남)의 악의적인 행동을 제한하는 데 도움이 될 수 있는 관행입니다.
- 정기적인 위협 사냥을 실시하고, 이는 파일리스 공격과 방어를 조기에 회피하기 위해 노력하는 위협 행위자를 탐지하는 데 도움이 될 수 있습니다.
공격자는 항상 조직의 시스템에 침투할 새로운 방법을 찾고 있으며, 우리가 보고 있는 새로운 계략은 공격에 준비가 되어 있지 않은 조직에 비해 사이버 범죄자가 갖는 이점을 확실히 더해 줍니다. 그러나 조직은 결코 무력하지 않습니다. 이 기사에 설명된 실용적이고 입증된 단계를 취함으로써 조직은 새로운 전술에도 불구하고 IAB 및 랜섬웨어 그룹의 삶을 매우 어렵게 만들 수 있습니다.
