랜섬웨어는 오늘날 조직이 직면한 가장 심각한 사이버 보안 위협입니다. 그러나 최근에는 국가안보국(National Security Agency)과 FBI의 지도자들이 공격이 감소했음을 나타냅니다. 많은 사이버 범죄 조직이 발원한 러시아에 대한 제재와 암호화폐 시장 붕괴가 결합되어 랜섬웨어 조직이 자금을 추출하고 지불금을 받기 어렵게 만들 수 있습니다.
그러나 우리는 아직 숲에서 나오지 않았다. 일시적인 하락에도 불구하고 랜섬웨어는 번성할 뿐만 아니라 진화하고 있습니다. 오늘날 RaaS(ransomware-as-a-service)는 사전 패키지된 익스플로잇 킷에 의존하는 자동화된 범용 모델에서 사람이 조작하는 고도로 표적화된 정교한 비즈니스 운영으로 진화했습니다. 이것이 모든 규모의 기업이 우려하는 이유입니다.
RaaS 되기
오늘날의 사이버 범죄자들은 장비가 잘 갖춰져 있고 의욕이 높으며 매우 효과적이라는 것은 널리 알려져 있습니다. 그들은 우연히 그렇게 된 것이 아니며 지속적으로 기술과 방법론의 발전. 막대한 재정적 이득의 동기는 유일하게 변함이 없었습니다.
초기 랜섬웨어 공격은 단순한 기술 기반 공격이었습니다. 공격으로 인해 백업 및 복원 기능에 대한 관심이 높아져 공격자들이 공격 중에 온라인 백업을 찾아 암호화하기도 했습니다. 공격자의 성공은 더 큰 몸값으로 이어졌고, 더 큰 몸값 요구는 피해자가 지불할 가능성을 낮추고 법 집행 기관이 개입할 가능성을 높였습니다. 랜섬웨어 갱단은 갈취로 대응했습니다. 그들은 데이터를 암호화할 뿐만 아니라 유출 및 피해자 고객 또는 파트너의 민감한 데이터를 공개하겠다고 위협하여 브랜드 및 평판 손상의 더 복잡한 위험을 초래했습니다. 오늘날 랜섬웨어 공격자가 랜섬 요구를 설정하고 전체 프로세스(지불 포함)를 최대한 효율적으로 만들기 위해 피해자의 사이버 보험 정책을 찾는 것은 드문 일이 아닙니다.
우리는 또한 덜 훈련된(그러나 똑같이 피해를 주는) 랜섬웨어 공격을 보았습니다. 예를 들어, 몸값을 지불하기로 선택하면 피해자가 미래의 공격에 적합한 사람으로 식별되어 동일하거나 다른 랜섬웨어 갱에 의해 다시 공격을 받을 가능성이 높아집니다. 사이의 연구 추정치 50의 % 80 %로 몸값을 지불한 조직(PDF)이 반복 공격을 받았습니다.
랜섬웨어 공격이 발전함에 따라 보안 기술, 특히 위협 식별 및 차단 영역의 보안 기술도 발전했습니다. 안티피싱, 스팸 필터, 안티바이러스 및 맬웨어 감지 기술은 모두 최신 위협을 처리하도록 미세 조정되어 이메일, 악성 웹사이트 또는 기타 인기 있는 공격 벡터를 통한 침해 위협을 최소화합니다.
랜섬웨어 공격을 막는 더 나은 방어와 정교한 접근 방식을 제공하는 이 속담적인 "고양이와 쥐" 게임은 전 세계 사이버 범죄 조직 내에서 더 많은 협력을 이끌어냈습니다. 전통적인 강도에 사용되는 금고 및 경보 전문가와 마찬가지로 맬웨어 개발, 네트워크 액세스 및 악용 전문가는 오늘날의 공격 및 랜섬웨어의 다음 진화를 위한 조건을 만들었습니다..
오늘날의 RaaS 모델
RaaS는 복잡하고 이익을 공유하는 비즈니스 모델을 통해 정교하고 인간이 주도하는 운영으로 진화했습니다. 과거에 독립적으로 일했을 수도 있는 RaaS 운영자가 이제 전문가와 계약하여 성공 가능성을 높입니다.
특정 랜섬웨어 도구를 유지 관리하고 피해자와 통신하며 지불을 확보하는 RaaS 운영자는 이제 침입 자체를 수행할 고위급 해커와 함께 일하는 경우가 많습니다. 대상 환경 내부에 대화식 공격자가 있으면 공격 중에 실시간 의사 결정이 가능합니다. 그들은 함께 협력하여 네트워크 내의 특정 약점을 식별하고 권한을 확대하며 가장 민감한 데이터를 암호화하여 지불을 보장합니다. 또한 온라인 백업을 찾아 삭제하고 보안 도구를 비활성화하기 위해 정찰을 수행합니다. 계약된 해커는 도난된 자격 증명 또는 이미 존재하는 지속성 메커니즘을 통해 네트워크에 대한 액세스를 제공하는 책임이 있는 액세스 브로커와 함께 일하는 경우가 많습니다.
이러한 전문 지식의 협력으로 인한 공격은 국가가 후원하는 "구식"의 느낌과 모양을 가진 지능형 지속적 위협 스타일 공격이지만 훨씬 더 널리 퍼져 있습니다.
조직이 스스로를 방어할 수 있는 방법
사람이 운영하는 새로운 RaaS 모델은 과거의 RaaS 모델보다 훨씬 더 정교하고 표적화되었으며 파괴적이지만 조직이 스스로를 방어하기 위해 따를 수 있는 모범 사례가 여전히 있습니다.
조직은 보안 위생에 대해 규율을 받아야 합니다. IT는 항상 변화하고 있으며 새로운 엔드포인트가 추가되거나 시스템이 업데이트될 때마다 새로운 취약성 또는 위험이 발생할 가능성이 있습니다. 보안 팀은 패치, 다단계 인증 사용, 강력한 자격 증명 적용, 손상된 자격 증명에 대한 다크 웹 스캔, 피싱 시도를 탐지하는 방법에 대한 직원 교육 등 보안 모범 사례에 계속 집중해야 합니다. 이것들 모범 사례는 공격 표면을 줄이는 데 도움이 됩니다. 액세스 브로커가 취약점을 악용하여 진입할 수 있는 위험을 최소화합니다. 또한 조직의 보안 위생이 강화될수록 분석가가 SOC(보안 운영 센터)에서 분류할 "소음"이 줄어들어 실제 위협이 식별될 때 집중할 수 있습니다.
보안 모범 사례 외에도 조직은 고급 위협 탐지 및 대응 기능을 갖추고 있는지 확인해야 합니다. 액세스 브로커는 조직의 인프라에서 정찰을 수행하는 데 시간을 보내기 때문에 보안 분석가는 적절한 도구가 있는 경우에만 이를 탐지하고 초기 단계에서 공격을 막을 수 있습니다. 조직은 엔드포인트, 네트워크, 서버, 이메일 및 클라우드 시스템, 애플리케이션 전반의 보안 이벤트에서 원격 분석을 감지하고 상호 상관 관계를 파악할 수 있는 확장된 감지 및 대응 솔루션을 찾아야 합니다. 또한 공격을 신속하게 차단하기 위해 공격이 식별되는 곳이면 어디든 대응할 수 있는 능력이 필요합니다. 대기업은 SOC에 이러한 기능을 내장할 수 있는 반면, 중견 기업은 연중무휴 위협 모니터링 및 대응을 위해 관리형 탐지 및 대응 모델을 고려하고자 할 수 있습니다.
최근 랜섬웨어 공격의 감소에도 불구하고 보안 전문가는 위협이 곧 사라질 것이라고 기대해서는 안 됩니다. RaaS는 계속 진화할 것입니다., 사이버 보안 혁신에 대응하여 최신 적응을 새로운 접근 방식으로 대체했습니다. 그러나 주요 위협 예방, 탐지 및 대응 기술과 결합된 보안 모범 사례에 초점을 맞추면 조직은 공격에 대해 보다 탄력적으로 대처할 수 있습니다.
