1. 서비스형 랜섬웨어(RaaS : Ransomware as a Service)
- 랜섬웨어 주문 제작 대행 서비스.
- 다크웹 등 익명 네트워크를 이용해 비용만 지급하면 랜섬웨어 공격을 할 수 있게끔 서비스 형태로 제공되는 랜섬웨어
- 랜섬웨어는 전문적인 IT 관련 능력이 필요한 기술 장벽이 높은 범죄였으나, RaaS의 등장으로 진입 장벽이 낮아짐.
- 사이버 보안 기업 IB(Group-IB)에 따르면 2020년 발생한 랜섬웨어 공격 중 64%(전체의 2/3) 가량이 RaaS 범죄 유형으로 추정된다고 밝힘
2. 공격 과정
| 랜섬웨어 구매 의뢰 | 공격자는 제작자에게 랜섬웨어 구매 의뢰 |
| 랜섬웨어 제공 | 제작자는 공격자에게 랜섬웨어 제공 |
| 공격 수행 | 공격자는 피해자에게 랜섬웨어 유포 및 감염 후 복호화를 대가로 비트코인 등 금전 요구 |
| 금전 지불 | 피해자는 복호화 키를 받는 대가로 공격자가 요구한 금전 등 대가 지급 |
| 수익금 분배 | 제작자, 공격자 등이 수익금을 일정 비율로 분배 |
| 사후 관리 | 지속적인 공격이 가능하도록 랜섬웨어 업데이트 및 서비스 지원 |
3. 특징
| 분업화 | 제작자와 공격자가 따로 존재 |
| 수익분배 | 랜섬웨어 공격 성공 후 얻게 되는 수익금을 일정비율로 제작자와 공격자가 나누어 가짐 |
| 사후관리 | 랜섬웨어 제공부터 지속적인 공격이 가능하도록 업데이트, 공격 진행 사항 추적 서비스 등 사후관리 제공 *케르베르 제작자는 2016년 한 해 동안 10번이 넘는 업데이트 진행 |
4. 사례
| 케르베르 (Cerber) |
- 2016년 3월 처음 발견 - 파일과 데이터 암호화 후 음성으로 피해자에게 금전 요구 - 무작위 숫자+영문자를 포함한 4글자 확장자로 파일 암호화 - 랜섬웨어를 통한 수익의 40%를 제작자와 공유 - 2016년 KISA에 접수된 랜섬웨어 피해사례 중 52% 차지 |
| 사탄 (Satan) |
- 제작자는 별도의 비용 없이 공격자에게 랜섬웨어 코드 제공 - 사용자 PC의 파일을 .stn 확장자로 암호화 - 랜섬웨어를 통한 수익의 30%를 제작자와 공유 |
| 스템파도 (Stampado) |
- 2016년 7월 처음 발견 - 39달러를 받고 공격자에게 악성코드 제공 - 안티바이러스 제품의 탐지망을 피하는 기능 보유 - 다른 랜섬웨어에 의해 암호화 된 파일을 재암호화하는 방식이 적용 |
| 필라델피아 (Philadelphia) |
- 2016년 9월 처음 발견 - 스템파도의 변형으로 알려짐 - 오토잇(AutoIt) 스크립트 언어를 통해 제작 가능 - 상용 제작툴을 이용해 암호화할 확장자 등 설정가능 - 선다운(sundown) 익스플로잇킷을 통해 국내 유포 |
| 샤크 (Shark) |
- 2016년 8월 처음 발견 - 워드프레스를 이용해 랜섬웨어 정보를 제공 - 랜섬웨어를 통한 수익의 20%를 제작자와 공유 |
| 아톰 (Atom) |
- 2016년 9월 처음 발견 - 샤크의 변형으로 샤크의 제작자가 제작한 것으로 알려짐 - 랜섬웨어를 통한 수익의 20%를 제작자와 공유 |
5. 대응방안
- 기존 랜섬웨어 대응방안과 동일
- 아래 글 4.대응방안 참고
랜섬웨어 #1 개요
1. 랜섬웨어(RansomWare)란? - Ransom(몸값) + Ware(제품) = RansomWare - 감염시 컴퓨터 시스템에 접근이 제한되거나 저장된 파일이 암호화되어 사용할 수 없게 되며, 해커는 이에 대한 대가로 금품을 요구 -
ggonmerr.tistory.com
'랜섬웨어 > 기본' 카테고리의 다른 글
| 랜섬웨어 #1 개요 (0) | 2022.08.24 |
|---|