보고서: Ransomware-as-a-Service는 '자립적인 산업'입니다.

새로운 보고서는 인터넷 랜섬웨어 생태계의 복잡성을 밝혀 랜섬웨어 그룹과 협력하는 행위자들이 현재 받고 있는 것보다 더 많은 관심을 요구한다는 결론을 내렸습니다.

이 보고서는 기업이 협상을 하고 궁극적으로 데이터를 보호 및/또는 검색하기 위해 요금을 지불하도록 위협하기 위해 위협 행위자가 무수한 강탈 기술을 종종 병행하여 배포하는 방법을 자세히 설명합니다.

랜섬웨어 그룹이 가장 일반적으로 사용하는 공격 벡터를 이해함으로써 기업은 스스로를 보호하기 위한 조치를 취할 수 있습니다. 예를 들어 암호 관리자 는 비즈니스 직원이 취약한 계정 자격 증명으로 쉽게 접근할 수 없도록 하는 한 가지 방법입니다.

서비스로서의 랜섬웨어(Ransomware-as-a-Service)가 급증하고 있습니다.

Tenable의 보고서 는 최근 랜섬웨어 붐의 주요 원인이 "RaaS(ransomware-as-a-service)의 출현"이라고 설명합니다.

본질적으로 RaaS는 SaaS(Software-as-a-Service)와 같은 서비스 모델입니다. 랜섬웨어 그룹이 소프트웨어를 만들면 다른 공격자가 시스템에 침입하여 배포하게 됩니다.

그 전에는 랜섬웨어 그룹 자체가 그 과정에서 모든 행동을 취했지만 지금은 시스템이 무한히 복잡해지고 작은 행위자가 돈을 벌 수 있는 다양한 단계가 있습니다.

랜섬웨어 생태계 설명

Tenable은 랜섬웨어 생태계가 중요한 것은 랜섬웨어 그룹으로만 구성된 것이 아니라고 설명합니다. 랜섬웨어 그룹은 "제품"의 생성자이자 소유자이며 많은 관심을 받지만 대체로 회사는 대부분의 랜섬웨어 공격에 관여하는 세 가지 주요 '역할'을 식별합니다. IAB, 계열사 및 랜섬웨어 그룹입니다.

IAB(Initial Access Brokers)는 "다양한 수단을 통해 조직에 대한 액세스 권한을 얻는 사이버 범죄자의 전문 그룹"입니다.

보고서는 부당한 액세스를 사용하여 자체 랜섬웨어 공격을 조정하는 대신 IAB가 "피해 조직의 네트워크 내에서 지속성을 유지하고 사이버 범죄 생태계 내의 다른 개인이나 그룹에 판매"한다고 설명합니다.

IAB 시장은 2019년에 160만 달러의 가치가 있었지만 2021년에는 710만 달러로 성장했습니다(그룹-IB). 이는 단순히 위험이 훨씬 적기 때문에 랜섬웨어 체인의 다른 곳에서 번 돈보다 훨씬 적은 수치입니다.

IAB(Initial Access Brokers) 시장은 2019년에 160만 달러의 가치가 있었지만 2021년에는 710만 달러로 성장했습니다 – Group-IB

IAB가 침입한 후 Affiliates로 알려진 행위자는 수백 달러에서 수천 달러 사이에서 채굴한 액세스 권한을 구매할 것입니다. 또는 무차별 대입 원격 데스크톱 프로토콜 시스템, 피싱, 시스템 취약성 또는 도난당한 자격 증명과 같은 공격 벡터를 사용하여 회사 서버에 침입합니다.

보고서에 따르면 이러한 행위자는 정상적이고 합법적인 비즈니스 관행에서 단서를 찾는 제휴 마케터와 매우 유사합니다. 시스템을 감염시키고 랜섬웨어 그룹이 "거래를 종료"하고 협상 프로세스를 시작하도록 합니다.

계열사는 종종 랜섬웨어 그룹 자체의 지시를 받아 자신의 창작물을 테스트하고 활용하는 데 도움을 줍니다.

"이중", "삼중" 및 "사중" 갈취가 기업의 대가를 치르게 하는 방법

전통적으로 랜섬웨어 그룹은 회사 파일을 암호화하고 암호 해독 비용을 지불하도록 했습니다. 하지만 요즘은 대부분의 기업이 안전한 파일 백업을 하고 있어 이 방법이 점점 비효율적이 되었습니다.

그러나 지난 몇 년 동안 "이중 갈취"가 많은 랜섬웨어 그룹의 표준이 되었습니다. 이것은 다크 웹 포럼 및 누출 웹 사이트에 "피해 조직에서 데이터 추출 및 티저 게시"로 구성됩니다. 기업들은 개인 및 기밀 정보가 나중에 온라인으로 유출될 것을 두려워했습니다.

2021년에 REvil은 지불 시점에 회사 시스템이 "완전히 작동 중"임에도 불구하고 JBS로부터 1,100만 달러의 지불 을 확보했습니다.

그러나 이 전술은 이제 몇 년이 지났고 Tenable은 다른 기술이 "삼중" 또는 "사중" 갈취 시도에서 서로 협력하여 사용되고 있다고 말합니다.

방법에는 도난당한 데이터가 참조하는 고객에게 연락하는 것, 도난당한 데이터를 최고 입찰자에게 판매하겠다고 위협하는 것, 법 집행 기관에 연락하지 않도록 피해자에게 경고하는 것이 포함됩니다.

랜섬웨어 그룹을 넘어 집중

보고서는 IAB와 계열사가 랜섬웨어 생태계 내에서 수행하는 중요한 역할에 더 많은 관심을 기울여야 한다고 제안합니다.

랜섬웨어 그룹은 본질적으로 영구적입니다. 더 많은 성공을 거둘수록 더 많은 계열사가 그들에게 집중하고 소프트웨어를 사용하기를 원하지만, 결과적으로 더 많은 법 집행 기관이 그들을 추적하려고 시도합니다.

Conti 그룹과 같이 오늘날 헤드라인을 장식하는 "악명 높은" 랜섬웨어 그룹 중 다수는 다른 랜섬웨어 그룹의 후계자입니다. 그룹에 대한 조사를 시작했다면 지금으로부터 1년 후에는 존재하지 않을 수도 있습니다. 그러나 IAB와 계열사는 그렇게 할 것입니다.

기업은 스스로를 보호하기 위해 무엇을 할 수 있습니까?

Tenable은 기업이 부당한 랜섬웨어 공격의 다음 희생자가 되지 않도록 기업이 취할 수 있는 다양한 완화 조치를 제공합니다. 여기에는 다단계 인증 사용, 계정에 대한 사용자 권한 지속적 감사, 네트워크의 취약한 자산 패치, 원격 데스크톱 프로토콜 강화, 적절한 바이러스 백신 소프트웨어 사용이 포함됩니다.

이 목록에는 직원의 비밀번호 강화도 포함되어 있으며 "비밀번호 요구 사항에는 긴 단어와 사전이 아닌 단어가 포함됩니다"라고 조언합니다. 암호를 기억할 필요 없이 충분히 길도록 하는 한 가지 방법은 암호 관리자 를 사용하는 것입니다. 암호 관리자를 사용하면 직원이 암호를 재사용하는 대신 자신이 소유한 모든 계정에 대해 고유한 암호를 만들 수도 있습니다.

RaaS 시장과 이에 참여하는 악의적인 그룹이 느려질 기미를 보이지 않기 때문에 데이터에 대해 최대한의 예방 조치를 취하는 것이 그 어느 때보다 중요해졌습니다.