Cyber Signals 2호: 랜섬웨어의 새로운 비즈니스 모델
랜섬웨어가 계속해서 헤드라인을 장식하고 있는 한편, 궁극적으로 사이버 범죄 경제의 이 부문을 주도하는 상대적으로 작은 규모의 연결된 생태계가 있습니다. 사이버 범죄 경제의 전문화 및 강화로 인해 RaaS(서비스형 랜섬웨어)가 지배적인 비즈니스 모델이 되었고, 기술적 전문성에 관계없이 더 광범위한 범죄자들이 랜섬웨어를 배포할 수 있게 되었습니다.
갈취의 경제학
랜섬웨어 공격의 80% 이상은 소프트웨어 및 디바이스의 일반적인 구성 오류가 원인일 수 있습니다.1
Microsoft Security의 CVP인 Vasu Jakkal이 랜섬웨어 경제와 조직이 어떻게 스스로를 보호할 수 있는지를 주제로 최고의 위협 인텔리전스 전문가들을 인터뷰하는 Cyber Signals 디지털 브리핑을 시청하세요.
디지털 브리핑: 랜섬웨어 경제로부터 스스로를 보호하기
방어자에게 새로운 인사이트를 제공하는 새로운 비즈니스 모델
많은 업계가 효율성을 위해 임시직 근로자 체제로 전환한 것과 마찬가지로 사이버 범죄자들은 직접 공격을 수행하기보다는 랜섬웨어 도구를 빌려주거나 판매하여 이익의 일부를 취하고 있습니다.
사이버 범죄자들은 서비스형 랜섬웨어를 통해 랜섬웨어 페이로드와 데이터 유출뿐만 아니라 결제 인프라에 대한 접근 경로를 구매할 수 있습니다. 랜섬웨어 "단체"는 실제로는 RaaS 프로그램과 페이로드 간에 전환하는 다양한 위협 행위자가 사용하는 Conti 또는 REvil과 같은 RaaS 프로그램입니다.
RaaS는 진입 장벽을 낮추고 몸값(랜섬)을 요구하는 공격자의 신원을 난독 처리합니다. 일부 프로그램에는 다양한 도구, 기술, 목표를 갖춘 서비스 사용자를 지칭하는 "계열사"가 50곳 이상 있습니다. 자동차가 있는 사람이라면 누구나 운전하며 차량 공유 서비스를 제공할 수 있는 것처럼, 노트북과 신용 카드를 가지고 있으며 다크 웹에서 침투 테스트 도구나 바로 사용할 수 있는 맬웨어를 찾아볼 의향이 있는 사람이라면 누구나 이 경제 구조에 동참할 수 있습니다.
이러한 사이버 범죄의 산업화로 인해 네트워크 접근 경로를 판매하는 액세스 브로커와 같은 전문적인 역할이 생겨났습니다. 단일 침해 인시던트의 경우 침입의 다양한 단계에 여러 사이버 범죄자가 관여하는 경우가 많습니다.
RaaS 키트는 다크 웹에서 쉽게 찾을 수 있으며 인터넷에 상품 광고가 표시되는 것과 동일한 방식으로 광고됩니다.
RaaS 키트에는 고객 서비스 지원, 번들 제품, 사용자 리뷰, 포럼 및 기타 기능이 포함될 수 있습니다. 사이버 범죄자는 정해진 가격을 지불하고 RaaS 키트를 구매할 수 있으며, 제휴 모델에 따라 RaaS를 판매하는 다른 단체는 수익의 일부를 가져갈 수 있습니다.
랜섬웨어 공격에는 네트워크 구성을 기반으로 한 결정이 수반되며, 랜섬웨어 페이로드가 동일한 경우라도 피해자마다 다르게 적용됩니다. 랜섬웨어는 데이터 반출 및 기타 영향을 포함할 수 있는 공격으로 끝이 납니다. 사이버 범죄 경제의 상호 연결된 특성으로 인해 겉보기에 관련이 없어 보이는 침입도 서로를 기반으로 구축될 수 있습니다. 암호와 쿠키를 훔치는 인포스틸러 맬웨어는 비교적 심각도가 낮은 것으로 취급되지만 사이버 범죄자는 이러한 암호를 판매하여 다른 공격을 가능하게 합니다.
이러한 공격은 맬웨어 감염이나 취약성 악용을 통한 초기 액세스 템플릿을 따른 다음, 자격 증명 탈취를 통해 높은 권한을 얻어 내부망으로 침투합니다. 산업화로 인해 공격자는 정교한 전술이나 고급 기술 없이도 다발적이고 큰 영향을 미치는 랜섬웨어 공격을 수행할 수 있습니다. Microsoft는 Conti가 와해된 이후 랜섬웨어 환경의 변화를 관찰했습니다. Conti를 배포했던 계열사 일부는 LockBit 및 Hive와 같은 기존에 확립된 RaaS 에코시스템의 페이로드로 이동한 반면, 나머지 계열사는 여러 RaaS 에코시스템의 페이로드를 동시에 배포했습니다.
QuantumLocker 및 Black Basta와 같은 새로운 RaaS는 Conti의 와해로 인해 남겨진 공백을 메우고 있습니다. 대부분의 랜섬웨어 조사는 행위자가 아닌 페이로드에 초점을 맞추기 때문에 이러한 페이로드 전환으로 인해 정부, 법 집행 기관, 미디어, 보안 연구원 및 방어자가 공격 배후에 대해 혼란을 겪을 가능성이 높습니다.
랜섬웨어에 대한 보고는 끝이 없이 확장하는 문제처럼 여겨질 수 있습니다. 그러나 현실은 여러 기술들을 사용하는 행위자의 유한한 집합이 있을 뿐입니다.
권장 사항:
- 자격 증명 위생 조치 구축: 내부망 침투를 제한하기 위해 네트워크 분할과 함께 구현할 수 있는 권한 기반의 논리 네트워크 분할을 개발합니다.
- 자격 증명 노출 감사: 자격 증명 노출 감사는 일반적인 랜섬웨어 공격과 사이버 범죄를 예방하는 데 매우 중요합니다. IT 보안 팀과 SOC는 협력을 통해 관리자 권한을 줄이고 자격 증명이 노출되는 수준을 이해할 수 있습니다.
- 공격 표면 줄이기: 랜섬웨어 공격에 사용되는 일반적인 공격 기법을 방지하기 위해 공격 표면 감소 규칙을 설정합니다. 관찰된 여러 랜섬웨어 관련 활동 단체의 공격에서, 명확하게 정의된 규칙을 마련한 조직은 초기 단계에서 공격을 완화하는 동시에 핸즈온키보드 공격을 방지할 수 있었습니다.
이중 갈취까지 더한 공격 전략을 취하는 사이버 범죄자
랜섬웨어는 피해자로부터 돈을 갈취하기 위해 존재합니다. 최신 RaaS 프로그램은 빼낸 데이터의 유출도 감행하는 데, 이를 이중 갈취라고 합니다. 서비스 중단으로 인해 반발이 발생하고 랜섬웨어 공격자에 대한 정부의 저지 능력이 발전함에 따라 일부 단체는 랜섬웨어를 포기하고 데이터 갈취를 노립니다.
갈취에 중점을 둔 단체 두 곳은 DEV-0537(일명 LAPSUS$)과 DEV-0390(이전 Conti 계열사)입니다. DEV-0390의 침입은 맬웨어에서 시작되지만 합법적인 도구를 사용하여 데이터를 반출하고 지불금을 갈취합니다. 이들은 Cobalt Strike, Brute Ratel C4 및 합법적인 Atera 원격 관리 유틸리티와 같은 침투 테스트 도구를 배포하여 피해자에 대한 액세스 권한을 유지합니다. DEV-0390은 자격 증명을 도용하여 높은 권한을 얻고 민감한 데이터(종종 기업 백업 및 파일 서버에 있음)를 찾은 뒤 파일 백업 유틸리티를 사용하여 클라우드 파일 공유 사이트로 데이터를 보냅니다.
DEV-0537은 매우 다른 전략과 기술을 사용합니다. 이들은 지하 범죄 현장에서 또는 표적이 된 조직의 직원으로부터 자격 증명을 구매하여 초기 액세스 권한을 얻습니다.
문제
- 도난당한 암호 및 보호되지 않은 ID
공격에 성공하려면 맬웨어보다도 자격 증명이 필요합니다. 거의 모든 랜섬웨어 배포 성공 사례에서 공격자는 조직 네트워크에 대한 광범위한 접근이 가능한 높은 권한의 관리자 수준 계정에 대한 액세스 권한을 얻습니다. - 누락되거나 비활성화된 보안 제품
관찰된 거의 모든 랜섬웨어 인시던트에서, 공격에 악용된 시스템 중 하나 이상에는 보안 제품이 없거나 보안 제품이 잘못 구성되어 있어 침입자가 특정 보호 기능을 조작하거나 비활성화할 수 있었습니다. - 잘못 구성되거나 남용된 애플리케이션
널리 사용되는 앱을 한 가지 목적으로만 사용하더라도, 여전히 범죄자는 다른 목적을 위해 해당 앱을 무기화할 수 있습니다. "레거시" 구성은 앱이 기본 상태에 있으며 어떤 사용자든지 전체 조직에 걸쳐 광범위하게 액세스할 수 있음을 의미하는 경우가 많습니다. 이러한 위험성을 간과하거나 이용에 문제가 생길까 앱 설정을 변경하는 것을 주저하지 마세요. - 느린 패치
“채소를 먹어라”는 말과 같이 진부하지만 그럼에도 아주 중요한 사실은 소프트웨어를 강화하는 가장 좋은 방법은 소프트웨어를 최신 상태로 유지하는 것이라는 사실입니다. 일부 클라우드 기반 앱은 사용자가 별다른 조치를 취하지 않아도 업데이트되지만 다른 공급업체의 경우 기업이 해당 패치를 즉시 적용해야 합니다. 2022년에 Microsoft는 오래된 취약성이 여전히 공격의 주요 동인이 되고 있음을 확인했습니다. - 도난당한 암호 및 보호되지 않은 ID
공격에 성공하려면 맬웨어보다도 자격 증명이 필요합니다. 거의 모든 랜섬웨어 배포 성공 사례에서 공격자는 조직 네트워크에 대한 광범위한 접근이 가능한 높은 권한의 관리자 수준 계정에 대한 액세스 권한을 얻습니다. - 누락되거나 비활성화된 보안 제품
관찰된 거의 모든 랜섬웨어 인시던트에서, 공격에 악용된 시스템 중 하나 이상에는 보안 제품이 없거나 보안 제품이 잘못 구성되어 있어 침입자가 특정 보호 기능을 조작하거나 비활성화할 수 있었습니다. - 잘못 구성되거나 남용된 애플리케이션
널리 사용되는 앱을 한 가지 목적으로만 사용하더라도, 여전히 범죄자는 다른 목적을 위해 해당 앱을 무기화할 수 있습니다. "레거시" 구성은 앱이 기본 상태에 있으며 어떤 사용자든지 전체 조직에 걸쳐 광범위하게 액세스할 수 있음을 의미하는 경우가 많습니다. 이러한 위험성을 간과하거나 이용에 문제가 생길까 앱 설정을 변경하는 것을 주저하지 마세요. - 느린 패치
“채소를 먹어라”는 말과 같이 진부하지만 그럼에도 아주 중요한 사실은 소프트웨어를 강화하는 가장 좋은 방법은 소프트웨어를 최신 상태로 유지하는 것이라는 사실입니다. 일부 클라우드 기반 앱은 사용자가 별다른 조치를 취하지 않아도 업데이트되지만 다른 공급업체의 경우 기업이 해당 패치를 즉시 적용해야 합니다. 2022년에 Microsoft는 오래된 취약성이 여전히 공격의 주요 동인이 되고 있음을 확인했습니다.
조치
- ID 인증 모든 계정에 MFA(다단계 인증)를 시행하고 관리자 및 기타 중요한 역할의 우선 순위를 지정합니다. 하이브리드 업무 환경인 경우 항상 모든 디바이스와 모든 위치에서 MFA를 요구합니다. FIDO 키 또는 Microsoft Authenticator와 같은 암호 없는 인증을 지원하는 앱에서 이를 활성화합니다.
- 보안 사각지대 해소
화재 경보기와 마찬가지로 보안 제품도 올바른 공간에 설치하고 자주 테스트해야 합니다. 보안 도구가 가장 안전한 구성으로 작동하고 있는지, 네트워크의 모든 부분이 빠짐없이 보호되는지 확인하세요. - 인터넷 연결 자산 강화
중복 앱 또는 미사용 앱을 삭제하여 위험성이 있고 사용하지 않는 서비스를 제거하는 것이 좋습니다. TeamViewer와 같은 원격 헬프데스크 앱을 허용할 때 해당 위치에 유의하세요. 이러한 앱은 노트북에 대한 액세스 권한을 빠르게 얻기 위해 위협 행위자의 표적이 되는 것으로 악명이 높습니다. - 시스템 최신화 유지
소프트웨어 목록 관리를 지속적인 프로세스로 만듭니다. 실행 중인 소프트웨어를 추적하고 이러한 제품에 대한 지원을 우선하세요. 빠르고 확실하게 패치하여 클라우드 기반 서비스로 전환하는 것이 도움이 되는 경우를 판단하세요.
공격자들은 현대 기술 에코시스템에서 ID의 상호 연결된 특성과 신뢰 관계를 이해함으로써 통신, 기술, IT 서비스 및 지원 회사를 표적으로 하여 한 조직의 액세스 권한을 활용해 파트너 또는 공급업체 네트워크에 진입할 수 있습니다. 갈취만을 노린 공격은 네트워크 방어자가 랜섬웨어 최종 단계 그 이상을 내다보고 데이터 반출과 내부망 침투를 면밀히 감시해야 함을 시사합니다.
위협 행위자가 데이터를 공개하지 않는 조건으로 조직의 돈을 갈취할 계획이라면 랜섬웨어 페이로드는 해당 공격 전략에서 그 중요도와 가치가 매우 낮아집니다. 궁극적으로 무엇을 배포할지는 공격자의 선택이며, 랜섬웨어가 항상 모든 위협 행위자가 추구하는 큰 보상인 것은 아닙니다.
랜섬웨어나 이중 갈취는 정교한 공격자의 공격으로 인해 발생하는 피할 수 없는 결과처럼 보일 수 있지만, 랜섬웨어는 피할 수 있는 재앙입니다. 공격자가 보안 약점에 의존한다는 것은 사이버 위생 조치에 대한 투자가 크게 도움이 된다는 뜻입니다.
Microsoft에서 제공하는 고유한 가시성을 통해 위협 행위자 활동을 파악할 수 있습니다. Microsoft의 보안 전문가 팀은 포럼 게시물이나 공개된 보도에 의존하지 않고 새로운 랜섬웨어 전술을 연구하고 Microsoft의 보안 솔루션에 반영될 위협 인텔리전스를 개발합니다.
디바이스, ID, 앱, 이메일, 데이터 및 클라우드 전반에 걸쳐 통합된 위협 보호를 사용하면 실제로는 단일 사이버 범죄자 그룹일 뿐인데 여러 위협 행위자로 분류되었을 수 있는 공격을 식별하는 데 도움이 됩니다. 기술, 법률, 비즈니스 전문가로 구성된 Microsoft의 디지털 범죄 전담반은 사이버 범죄를 저지하기 위해 법 집행 기관과 지속적으로 협력하고 있습니다.
권장 사항:
클라우드 강화: 공격자가 클라우드 리소스로 이동함에 따라 온-프레미스 계정뿐만 아니라 클라우드 리소스와 ID을 보호하는 것이 중요합니다. 보안 팀은 보안 ID 인프라를 강화하고, 모든 계정에 MFA(다단계 인증)를 적용하며, 클라우드 관리자/테넌트 관리자를 도메인 관리자와 동일한 보안 및 자격 증명 위생 수준으로 처리하는 데 중점을 두어야 합니다.
초기 액세스 방지: 매크로와 스크립트를 관리하고 공격 표면 감소 규칙을 사용하여 코드 실행을 방지합니다.
보안 사각지대 해소: 조직은 보안 도구가 최적의 구성으로 실행되고 있는지 확인하고 정기적인 네트워크 검사를 수행하여 보안 제품이 모든 시스템을 보호하도록 보장해야 합니다.
https://go.microsoft.com/fwlink/?linkid=2262350에서 Microsoft의 심층 권장 사항을 확인할 수 있습니다.
위협 인텔리전스 분석가 Emily Hacker로부터 그녀의 팀이 변화하는 서비스형 랜섬웨어 환경을 어떻게 신속하게 파악하는지 들어보세요.
Microsoft DCU(디지털 범죄 전담반):
2021년 7월부터 2022년 6월까지 531,000개 이상의 고유한 피싱 URL과 5,400개 이상의 피싱 키트를 제거하도록 지시하여 도난당한 고객 자격 증명을 수집하는 데 사용된 1,400개 이상의 악성 이메일 계정이 식별 및 폐쇄되었습니다.1
2021년 7월부터 2022년 6월까지 531,000개 이상의 고유한 피싱 URL과 5,400개 이상의 피싱 키트를 제거하도록 지시하여 도난당한 고객 자격 증명을 수집하는 데 사용된 1,400개 이상의 악성 이메일 계정이 식별 및 폐쇄되었습니다.1
이메일 위협:
피싱 이메일의 피해를 입은 경우 공격자가 개인 데이터에 액세스하는 데 걸리는 시간의 중앙값은 1시간 12분입니다.1
피싱 이메일의 피해를 입은 경우 공격자가 개인 데이터에 액세스하는 데 걸리는 시간의 중앙값은 1시간 12분입니다.1
엔드포인트 위협:
디바이스가 손상된 경우 공격자가 회사 네트워크 내에서 내부망 침투를 시작하는 데 걸리는 시간의 중앙값은 1시간 42분입니다.1
디바이스가 손상된 경우 공격자가 회사 네트워크 내에서 내부망 침투를 시작하는 데 걸리는 시간의 중앙값은 1시간 42분입니다.1
- [1]
방법론: 스냅샷 데이터의 경우 Defender 및 Azure Active Directory를 포함한 Microsoft 플랫폼과 Microsoft 디지털 범죄 전담반에서 악성 이메일 계정, 피싱 이메일, 네트워크 내 공격자 이동과 같은 위협 활동에 대한 익명화된 데이터를 제공했습니다. 추가 인사이트는 클라우드, 엔드포인트, 인텔리전트 에지, Microsoft 보안 침해 복구 관행, Microsoft 탐지 및 대응 팀을 포함하여 Microsoft 전체에서 가져온 43조 개의 일일 보안 신호를 기반으로 합니다.
Microsoft 팔로우