랜섬웨어의 위협: 파일을 다시 보려면 비용을 지불하십시오

올해 초에 발생한 WannaCry 랜섬웨어 공격을 인식하지 않으려면 바위 아래에서 생활해야 합니다. 그러나 반대로 WannaCry가 여전히 마음의 최전선에 있으려면 바위 아래에서 살아야 합니다.

우리는 정보가 끊임없이 흐르는 세상에 살고 있으며 전 세계에서 몇 분 만에 새로운 개발 소식을 들을 수 있습니다. 따라서 대부분의 사람들이 이 대규모 공격을 잊어버리는 것이 완전히 정상일 것입니다. 그러나 WannaCry와 랜섬웨어의 개념을 모두 잊어버리는 것은 현명하지 못한 일입니다. 왜냐하면 이것이 확실히 첫 번째 공격도 아니고 마지막 공격도 아니기 때문입니다.

사이버 범죄자들이 가장 널리 사용되는 운영 체제 중 하나를 표적으로 삼고 230,000대의 컴퓨터와 관련 비즈니스를 무릎 꿇게 할 수 있는 랜섬웨어는 매우 실질적인 위협이며 잊지 말아야 할 것입니다.

랜섬웨어란?

글쎄, 대부분의 사람들은 현재 랜섬웨어가 무엇인지 알고 있을 것입니다. 하지만 그렇지 않다면 배울 수 있는 좋은 기회입니다. 개념 자체는 상당히 기본적이며 이름에 "몸값"이라는 단어가 포함되어 거의 자명합니다. 기본적으로 랜섬웨어는 컴퓨터의 파일과 정보를 인질로 잡고 인질을 석방하기 위해 몸값을 요구하는 것과 같습니다. 그러나 더 명확하게 하기 위해 기술적인 정의는 생략하겠습니다.

랜섬웨어는 기본적으로 모든 파일을 암호화하고 잠금을 해제하기 위해 특정 "암호화 키"를 요구하여 감염된 장치를 잠그는 "컴퓨터 버그 제품군" 또는 악성 공격 소프트웨어입니다. 이제 이것은 기존 데스크톱 컴퓨터에만 영향을 주는 것이 아니라 휴대전화, 태블릿 또는 서버에도 영향을 미칠 수 있습니다.

엔드포인트 장치가 암호화되면 장치의 소유자 또는 사용자는 해당 장치의 파일이나 기능에 액세스할 수 없습니다. 이 장치에 대한 액세스 권한을 다시 얻으려면 사용자는 파일 및 장치에 대한 액세스 권한을 다시 받기 위해 일부 수수료인 "몸값"을 지불해야 합니다.

따라서 의심의 여지 없이 개념을 이해하는 가장 쉬운 방법은 누군가가 귀하의 파일이나 전체 장치를 인질로 잡고 있다는 것입니다. 비용을 지불하지 않으면 자녀의 사진을 다시는 볼 수 없으며 더 중요한 것은 매우 민감한 비즈니스 관련 문서를 볼 수 없습니다.

위협이 얼마나 큰가?

대규모 WannaCry 공격이 있기 불과 몇 달 전에 IBM Security는 랜섬웨어 공격의 상태와 미래를 자세히 살펴본 보고서를 발표했습니다. IBM Security는 "랜섬웨어: 소비자와 기업이 데이터를 가치 있게 여기는 방법"이라는 보고서에서 랜섬웨어의 위협을 둘러싼 몇 가지 무서운 정보를 강조했습니다.

가장 큰 발견은 바로 랜섬웨어가 증가하고 있다는 것입니다. 원래 개념은 "잠금 코드"가 포함된 플로피 디스크가 피해자에게 달팽이 메일로 전송된 1989년으로 거슬러 올라갑니다.

실제로 그들은 "사이버 범죄자가 악용하는 향상된 암호화 기능과 비트코인과 같은 암호화폐 사용 증가로 개념이 '엄청난 추진력'을 얻었다"고 언급했습니다. 그러나 한 단계 "랜섬웨어 공격은 2016년에 4배 증가했으며 하루 평균 4,000건의 공격이 발생했습니다."

FBI는 2016년에 2016년 첫 3개월 동안 미국에서 2억900만 달러 이상의 랜섬 웨어 지불이 이루어졌다고 보고하기도 했습니다.” 실제로 이는 2015년 전체에 대해 "보고된 2,400만 달러에 비해 771%가 증가한 수치"입니다.

FBI는 현재 랜섬웨어가 2016년 사이버 범죄자들의 약 10억 달러 수익원이 될 것으로 추정하고 있습니다. 그리고 2017년 5월에 보았듯이 FBI는 그리 멀지 않은 곳에 있습니다. 예, 위협은 절대적으로 큽니다. 우리는 20달러 지불에 대해 이야기하는 것이 아닙니다. IBM Security에 따르면 몸값은 최저 500달러로 보고되었지만 일부 사례에서는 수백만 달러 를 요구하기도 합니다. 물론 비즈니스에 따라 몸값이 다를 수 있지만 항상 손해입니다.

어떻게 작동합니까?

이제 우리는 랜섬웨어 공격이 무엇인지에 대한 기본적인 이해를 했고 위협이 매우 실제적이라는 것을 알고 있으므로 퍼즐의 다음 조각은 이러한 유형의 공격이 정확히 어떻게 수행되는지 이해하는 것입니다. 결국, 적을 압도해야 하며, 랜섬웨어 공격의 근본 원인을 이해하는 것만으로도 충분히 예방할 수 있습니다.

네트워크 보안에 대한 가이드에서 이전에 썼던 것처럼 상식이 가장 좋은 방법입니다. 네트워크의 누군가가 문을 활짝 열고 공격자가 들어오게 하면 보안, 방화벽 또는 세션 경계 컨트롤러가 아무리 많아도 침입자를 막을 수 없습니다. 여기에 개인을 속이고 조작하는 "사회 공학"의 개념이 등장합니다. 기밀 정보를 공유하거나 제한된 시스템에 대한 액세스를 허용합니다.

대부분의 악성 소프트웨어 공격과 마찬가지로 랜섬웨어는 흡혈귀와 비슷합니다. 액세스하려면 초대를 받아야 합니다. 이것이 완벽한 비유는 아니지만 요점을 이해하는 데 도움이 됩니다. 컴퓨터 바이러스는 사용자의 동의 없이 시스템에 다운로드될 수 없습니다. 일반적으로 연락 창구가 있어야 합니다. 가장 일반적인 것은 첨부 파일이 있는 스팸 이메일이며, IBM Security에서도 이 비율이 증가한 것으로 나타났습니다.

Becky's와 비슷하지만 이상한 첨부 파일이 있는 그 주소에서 받은 이상한 이메일을 알고 계십니까? 열지 말고, 첨부 파일을 다운로드하지 말고, 보지도 마십시오. IBM에 따르면 원치 않는 이메일과 스팸은 랜섬웨어가 네트워크에 침투하는 주요 원인입니다.

이메일을 열거나 첨부 파일을 다운로드하면 랜섬웨어가 컴퓨터에 액세스할 수 있습니다. 거기에서 이 악성 소프트웨어는 엔드포인트의 파일 시스템을 스캔하고 "섀도 복사본과 백업 파일은 물론 네트워크 리포지토리와 엔드포인트에 연결된 외부 드라이브까지 포함하여 피해자가 파일을 보관하는 모든 위치를 찾을 수 있습니다."

일단 모든 것을 찾으면 맬웨어는 네트워크의 한 장치에서 다른 모든 장치로 이동할 수 있으며 암호화가 전체 시스템 또는 중요한 정보를 인수하여 잠그고 이제 다시 가져오기 위해 비용을 지불해야 합니다. 그러나 이것이 전체 이야기를 정확히 말해주지는 않습니다. 사실 Malwarebytes Labs에 따르면 WannaCry는 간단한 이메일 첨부 파일에서 시작하지도 않았습니다.

WannaCry는 어떻게 지금까지 퍼졌습니까?

결국 230,000명의 개인이 WannaCry를 자신의 컴퓨터에 허용한 동일한 이메일을 열지 않았습니다. 다시 말하지만 Malwarebytes에 따르면 일부 까다로운 NSA 소프트웨어와 관행이 네트워크의 약점을 찾는 데 사용되었다는 아이디어입니다.

"이 불쾌한 웜은 SMB 포트에 직면한 취약한 대중을 추적한 다음 NSA에서 유출된 EternalBlue 익스플로잇을 사용하여 네트워크에 접근하고 DoublePulsar 익스플로잇을 사용하여 지속성을 설정하고 설치를 허용하는 작업을 통해 확산되었습니다. WannaCry 랜섬웨어."

이제 이것은 약간 기술적인 것이며 더 자세히 알고 싶다면 Malwarebytes가 모든 것을 잘 분해합니다. 그러나 주목해야 할 중요한 점은 WannaCry가 이메일에서 시작하지 않았다는 것입니다. 따라서 WannaCry가 주요 출처이지만 유일한 출처도 아니며 가장 두려워하지도 않습니다. WannaCry는 초대받지 않고 집에 들어갈 수 있는 고유한 방법을 찾기 위해 진화한 "뱀파이어"였습니다. 아, 그리고 WannaCry는 NSA의 "무기화된" 익스플로잇(EternalBlue 및 DoublePulsar 항목)을 사용했습니다. .

통합 커뮤니케이션 및 랜섬웨어

따라서 랜섬웨어는 파일 및 장치 자체에 대한 액세스를 방지하기 위해 컴퓨터를 잠그는 데에만 사용할 수 있다고 생각할 수 있습니다. 글쎄요, 그것은 가장 큰 우려 사항 중 하나지만 항상 연결된 클라우드 솔루션의 세계에서 유일한 우려 사항은 아닙니다. 실제로 VoIP 및 통합 커뮤니케이션에는 고유한 랜섬웨어 위협이 있습니다.

WannaCry 기간 동안 병원에서는 컴퓨터뿐만 아니라 병원 전화 통신 시스템에도 영향을 미쳤다고 보고했습니다. 이러한 유형의 소프트웨어는 비즈니스에서 매일 사용하는 통합 커뮤니케이션 솔루션을 포함하여 연결된 모든 장치 또는 시스템에 퍼질 수 있습니다. VoIP 공격이 증가하고 있으며 적절하게 보호되지 않은 네트워크에 연결된 모든 탁상 전화기는 네트워크에 대한 추가 액세스 포인트를 허용합니다. Skype 및 Type 공격도 있습니다. 발신자는 전화를 받는 동안 사용자가 입력한 내용을 파악하여 네트워크에 무단으로 액세스할 수 있습니다.

Malwarebytes는 또한 WannaCry 공격이 특정 프로토콜, 특히 "SMB 프로토콜"을 이용했다는 점에 주목합니다. 그들은 SMB가 컴퓨터 간에 파일을 전송하는 데 사용되며 프로토콜이 필요하지 않음에도 불구하고 기본적으로 장치에서 가장 자주 활성화되는 설정이라고 설명합니다. Malwarebytes는 특히 사용자가 SMB 및 "사용하지 않는 경우 기타 통신 프로토콜"을 비활성화할 것을 권장합니다.

위험을 낮추고 비즈니스를 보호하십시오

따라서 모든 보안 전문가가 말하겠지만 가장 강력한 방어선은 교육입니다. 모퉁이에 어떤 잠재적 위협이 도사리고 있는지 알고 있다면 이러한 위협이 네트워크에 침투하는 방법과 이러한 위협이 장치를 감염시키는 것을 방지하는 방법을 알고 있습니다.

그러나 단순히 팀에 간략한 이메일을 열지 말라고 말하는 것만으로는 충분하지 않습니다. 우리는 모두 실수를 하고 결국에는 심각한 감염으로 이어지는 정직한 실수가 될 수 있습니다. 반면 WannaCry에서 보았듯이 이러한 랜섬웨어 공격은 컴퓨터에 침투하기까지 합니다. 그렇다면 이러한 엄청난 위협으로부터 어떻게 보호할 수 있습니까? 고려할 수 있는 몇 가지 기본 관행이 있습니다.

• 모든 것을 업데이트

사람들이 휴대폰과 컴퓨터에서 이러한 업데이트 경고를 무시하는 것을 몇 번이고 보고 있으며 이러한 최신 업데이트로 해결된 문제가 팝업되는 것을 자주 봅니다. 성가실 수 있고 하루에서 시간이 걸릴 수 있지만 장치를 업데이트 해야 합니다. Microsoft가 Windows 10 컴퓨터에 업데이트를 강제로 적용하는 것만큼 짜증나는 일도 있습니다. 보안 결함이 있으면 수정해야 하며 이러한 수정 사항은 지루한 컴퓨터 업데이트에 포함됩니다. 지옥, WannaCry 직후에 Microsoft는 대부분 버려진 운영 체제인 Windows XP에 패치를 적용했습니다. 유지하다. 모든 것. 위로. 에게. 날짜.

• 모든 것을 백업

데이터를 백업하는 사람과 데이터를 잃어버리는 충격적인 경험이 없는 사람의 두 가지 유형이 있습니다. 비즈니스가 일상적인 비즈니스 운영을 유지하기 위해 이러한 시스템 내부의 일부 중요한 정보에 의존하는 경우 모든 것을 백업해야 합니다. 랜섬웨어가 공격하여 기본 시스템을 온라인 상태로 만들 수 없는 경우 백업이 최신 상태이고 안전한 경우 최소한 대체할 안전망이 있어야 합니다. 랜섬웨어는 동일한 네트워크의 한 장치에서 다른 모든 장치로 이동할 수 있으므로 백업은 기본 네트워크 인프라와 관련 없는 보안 네트워크의 고유하고 안전한 위치에 보관해야 합니다. 아, 그리고 데이터는 3개 위치에 저장되지 않는 한 백업되지 않습니다. 이중화가 핵심입니다.

• 보안 소프트웨어 구현 및 유지 관리

이전에 보안 소프트웨어에 대해 이야기했지만 다시 언급할 가치가 있습니다. IBM Security에서 직접 권장하는 모든 직원 엔드포인트에 설치된 최신 바이러스 백신 및 맬웨어 탐지 소프트웨어를 사용하는 것이 가장 좋은 시작 방법입니다. IBM은 또한 한 단계 더 나아가 모든 안티바이러스 소프트웨어에 대한 자동 업데이트와 정기 검사를 설정할 것을 권장합니다. 안티바이러스 및 탐지 소프트웨어 외에도 앞서 언급한 하드웨어 또는 소프트웨어 방화벽 및 세션 경계 컨트롤러와 같은 네트워크 게이트키퍼는 원치 않는 눈을 차단하는 데 도움이 됩니다. 모바일 및 원격 사용자를 위한 VPN도 고려하십시오.

• 사고 대응 계획 수립 및 유지

이 점은 교육 및 훈련 직원과 공존하며 보안과 관련하여 전체 계획에 포함되어야 합니다. 공격을 방지하기 위한 모든 조치를 취하더라도 여전히 공격이 발생할 가능성이 있습니다. 주요 팀이 가능한 한 많은 피해를 방지하기 위해 신속하게 대응하는 방법을 알 수 있도록 사고 대응 계획을 수립합니다. 가장 중요한 것은 공격이 발생할 경우 확산을 중지하는 것입니다. 모든 장치의 연결을 끊고 네트워크에 연결하지 않고 모바일 또는 개인 장치를 사용합니다. 연결된 단일 감염된 시스템으로 인해 전체 네트워크가 몇 분 안에 감염될 수 있으며 이는 BYoD 전용 작업 공간의 보안 악몽에 기여합니다.

• 악용 축적 방지

이것은 물론 모든 또는 심지어 많은 기업에 적용되지는 않습니다. 그러나 결국 이러한 도구를 "무기화"하려는 시도로 잠재적인 익스플로잇과 알려진 맬웨어를 축적하는 것을 중단해야 합니다. 이것은 Microsoft 사장인 Brad Smith가 강조한 점이며 반성할 가치가 있는 것입니다. NSA의 무기화된 익스플로잇은 WannaCry에서 사용된 것으로 의심되며 물론 계속해서 사용할 수 있습니다.

사라지지 않는 진정한 위협

분명히 알 수 있듯이 랜섬웨어는 의심할 여지 없이 큰 위협입니다. 그리고 우리가 분명히 알 수 있듯이 랜섬웨어는 곧 사라지지 않을 것입니다. 사실 2014년부터 이미 보았듯이 앞으로 몇 년 안에 랜섬웨어 공격이 증가할 것으로 예상할 가능성이 더 큽니다. 불행히도 완벽한 방어는 없지만 어떤 식으로든 재난에 대비하는 것이 기다리는 것보다 낫습니다. 먼저 일어날 일.

WannaCry가 모닝콜이 아닌 경우 비즈니스는 보안을 심각하게 고려해야 합니다. 그러면 또 다른 대규모 공격이 발생하더라도 너무 늦지 않기를 바랍니다. 우리는 이미 하나의 익스플로잇이 전 세계 230,000대의 컴퓨터에 도달하는 것을 보았습니다. 다음 공격이 얼마나 거대하고 해로울 수 있는지 누가 알겠습니까?