랜섬웨어 공격자들이 늘어난다고? 그러면 랜섬웨어를 위장 도구로 사용하면 어떨까? 외 1건

요약	- 일부 APT 조직들이 랜섬웨어를 위장 도구로 활용하는 사례 발견 > 랜섬웨어 공격자들이 한 것처럼 일을 꾸며 추적을 늦춤 - 국내외 랜섬웨어 감염 속출 > KISA, 랜섬웨어 예방을 위한 권고, 보안 강화 방안 공유
내용	- 랜섬웨어를 전면에 내세우고 다른 목적을 달성하기 위한 공격이 주로 발생 > Ex, 카멜갱(ChamelGang)_중국 APT 조직 / 안다리엘(Andariel)_북한 APT 조직 - APT 단체들이 자신들의 목적을 달성하기 위해 랜섬웨어를 전면에 내세우고 있음 > 정보 탈취와 에스피오나지 목적 > 랜섬웨어로 자신들의 행위를 위장하여 수사에 혼선 유발 > 훔쳐낼 정보가 더 이상 없거나 반드시 파괴해야할 필요가 있을 시 랜섬웨어로 실제 피해를 유발 - 카멜갱(ChamelGang) > 이미 널리 공개된 다양한 공격 도구 또는 자체 개발 공격 도구 사용 > 비컨로더(BeaconLoader), 코발트스트라이크(Cobalt Strike), 오크도어(AukDoor), 도어미(DoorMe), 제티코베스트크립트(Jetico BestCrypt), 마이크로소프트비트락커(Microsoft BitLocker) 등 ※ 도어미: 카멜갱이 독자적으로 만들거나 수정한 공격 도구 - 카멜갱의 커스텀 멀웨어를 다른 중국 APT 조직이 몇 번 사용함 > 중국 사이버 공격자들 사이 연관성(도구, 전술, 노하우 등)이 계속해서 자주 발견되는 중 ==================================================================================== - 전 세계 곳곳에서 랜섬웨어 감염 사고 발생 > 24.06 말 잡플랫 랜섬웨어 공격을 당한 후 현재까지 복구되지 않음 > 잡플랫은 여러 서버를 분리해 운영했으나, 백업 서버까지 랜섬웨어 공격을 당했다고 설명 > 인도네시아에서 중앙·지방 정부와 공공기관이 이용하는 국가 데이터센터 랜섬웨어 공격 > 인도네시아 210개 공공기관 서비스 7천여개 중단 및 지연 > 24.06.27 기준 98%가 백업되지 않은 상황으로, 8월 중순 복구 예상 - KISA 랜섬웨어 감염 예방을 위한 권고와 보안 강화 방안 발표 ① 외부 접속 관리 강화: 불필요한 네트워크 서비스 차단 > 외부에 노출된 DB 서비스, NAS(Network Access Server) 등 서비스 현황 파악 및 불필요한 시스템 연결 차단 > 테스트 서버나 유휴 서버 등 방치된 시스템 점검 필요 > 중요 시스템 접속자는 개인 단말에 임의로 원격 제어 프로그램을 설치해 사용하는지 점검 ② 계정 관리 강화 : 비밀번호 관리 > ‘admin’ 등 기본 관리자 비밀번호 반드시 변경 > 사용하지 않는 기본 관리자 계정은 비활성화 또는 권한 제한 > 비밀번호를 설정할 시 대문자, 소문자, 특수분자, 숫자를 조합 > 정기적 비밀번호 변경 ③ 백업 : 저장소 분리·인증 > 중요 자료는 네트워크와 분리된 별도 저장소에 정기적 백업 > 중요 자료의 경우 분산해 백업하고, 외부 클라우드에 중요 자료를 보관하는 것이 권장 > 소유기반의 이중 인증을 적용하는 것이 안전 ※ 많은 피해기업이 백업을 수행했음에도, 같은 저장소에 보관함에 따라 복구에 어려움을 겪는 중 ④ 이메일 보안 강화 > 송신자를 정확히 확인 > 모르는 이메일과 첨부된 파일은 열람하지 말것 > 이메일 수신 시 출처가 불분명한 사이트는 주소 클릭 자제 ⑤ 기타 > 자동 업데이트를 활성화하여 운영체제, 소프트웨어 최신 보안패치 적용
기타	-

 

보안뉴스

랜섬웨어 공격자들이 늘어난다고? 그러면 랜섬웨어를 위장 도구로 사용하면 어떨까?

[긴급] 중요 파일이 암호화 됐습니다! 랜섬웨어 감염 창궐... 보안 강화 권고

KISA 보호나라&KrCERT/CC