1. 서비스형 랜섬웨어(RaaS : Ransomware as a Service)

- 랜섬웨어 주문 제작 대행 서비스.

- 다크웹 등 익명 네트워크를 이용해 비용만 지급하면 랜섬웨어 공격을 할 수 있게끔 서비스 형태로 제공되는 랜섬웨어

- 랜섬웨어는 전문적인 IT 관련 능력이 필요한 기술 장벽이 높은 범죄였으나, RaaS의 등장으로 진입 장벽이 낮아짐.

- 사이버 보안 기업 IB(Group-IB)에 따르면 2020년 발생한 랜섬웨어 공격 중 64%(전체의 2/3) 가량이 RaaS 범죄 유형으로 추정된다고 밝힘

[캡쳐 1] RaaS 구조 (<랜섬웨어 대응 관계부처 합동 자료> 발췌)

2. 공격 과정

랜섬웨어 구매 의뢰 공격자는 제작자에게 랜섬웨어 구매 의뢰
랜섬웨어 제공 제작자는 공격자에게 랜섬웨어 제공
공격 수행 공격자는 피해자에게 랜섬웨어 유포 및 감염 후 복호화를 대가로 비트코인 등 금전 요구
금전 지불 피해자는 복호화 키를 받는 대가로 공격자가 요구한 금전 등 대가 지급
수익금 분배 제작자, 공격자 등이 수익금을 일정 비율로 분배
사후 관리 지속적인 공격이 가능하도록 랜섬웨어 업데이트 및 서비스 지원

3. 특징

분업화 제작자와 공격자가 따로 존재
수익분배 랜섬웨어 공격 성공 후 얻게 되는 수익금을 일정비율로 제작자와 공격자가 나누어 가짐
사후관리 랜섬웨어 제공부터 지속적인 공격이 가능하도록 업데이트, 공격 진행 사항 추적 서비스 등 사후관리 제공
*케르베르 제작자는 2016년 한 해 동안 10번이 넘는 업데이트 진행

4. 사례

케르베르
(Cerber)
- 2016년 3월 처음 발견
- 파일과 데이터 암호화 후 음성으로 피해자에게 금전 요구
- 무작위 숫자+영문자를 포함한 4글자 확장자로 파일 암호화
- 랜섬웨어를 통한 수익의 40%를 제작자와 공유
- 2016년 KISA에 접수된 랜섬웨어 피해사례 중 52% 차지
사탄
(Satan)
- 제작자는 별도의 비용 없이 공격자에게 랜섬웨어 코드 제공
- 사용자 PC의 파일을 .stn 확장자로 암호화
- 랜섬웨어를 통한 수익의 30%를 제작자와 공유
스템파도
(Stampado)
- 2016년 7월 처음 발견
- 39달러를 받고 공격자에게 악성코드 제공
- 안티바이러스 제품의 탐지망을 피하는 기능 보유
- 다른 랜섬웨어에 의해 암호화 된 파일을 재암호화하는 방식이 적용
필라델피아
(Philadelphia)
- 2016년 9월 처음 발견
- 스템파도의 변형으로 알려짐
- 오토잇(AutoIt) 스크립트 언어를 통해 제작 가능
- 상용 제작툴을 이용해 암호화할 확장자 등 설정가능
- 선다운(sundown) 익스플로잇킷을 통해 국내 유포
샤크
(Shark)
- 2016년 8월 처음 발견
- 워드프레스를 이용해 랜섬웨어 정보를 제공
- 랜섬웨어를 통한 수익의 20%를 제작자와 공유
아톰
(Atom)
- 2016년 9월 처음 발견
- 샤크의 변형으로 샤크의 제작자가 제작한 것으로 알려짐
- 랜섬웨어를 통한 수익의 20%를 제작자와 공유

5. 대응방안

- 기존 랜섬웨어 대응방안과 동일

- 아래 글 4.대응방안 참고

 

랜섬웨어 #1 개요

1. 랜섬웨어(RansomWare)란? - Ransom(몸값) + Ware(제품) = RansomWare - 감염시 컴퓨터 시스템에 접근이 제한되거나 저장된 파일이 암호화되어 사용할 수 없게 되며, 해커는 이에 대한 대가로 금품을 요구 -

ggonmerr.tistory.com

'랜섬웨어 > 기본' 카테고리의 다른 글

랜섬웨어 #1 개요  (0) 2022.08.24

1. 랜섬웨어(RansomWare)란?

[캡쳐 1] 랜섬웨어 (https://ko.wikipedia.org/wiki/%EB%9E%9C%EC%84%AC%EC%9B%A8%EC%96%B4)

- Ransom(몸값) + Ware(제품) = RansomWare

- 감염시 컴퓨터 시스템에 접근이 제한되거나 저장된 파일이 암호화되어 사용할 수 없게 되며, 해커는 이에 대한 대가로 금품을 요구

- 즉, 사용자의 동의 없이 시스템에 설치되어서 무단으로 사용자의 파일을 모두 암호화하여 인질로 잡고 금전을 요구하는 악성 프로그램

2. 동작 원리

뮤텍스 생성 - 최초 실행시 중복 암호화를 방지하기 위해 뮤텍스 생성
공격 대상 파일 검색 - 다소 차이가 있으나 특정 경로, 확장자명, 파일명 등 암호화에서 제외되는 항목이 존재
암호화 - 단방향(암호화 후 복구불가), 양방향(암복호화 가능) 암호화를 수행
파일 이동 - 피해자에게 공격 사실을 알리기 위한 목적으로 파일이동, 랜섬노트 생성
감염 안내 및 복구 방법 메시지 출력 - 파일 암호화 사실과 복구 방법이 작성된 안내창을 띄움

3. 감염 경로

P2P, 블로그 등
출처가 불명확한 소프트웨어 및
메일 등의 첨부파일
- 상용 소프트웨어에 대한 크랙/무료 버전 다운로드, 메일에 첨부파일 등으로 클릭 유도
- 정상 다운로드 사이트로 위장한 피싱 사이트 혹은 감염된 사이트일 가능성
- 불법 소프트웨어 다운로드 후 실행 시 랜섬웨어 감염
웹사이트 접속 - 이미 감염된 혹은 오타 등에 의해 잘못된 사이트로 접속
- 사용자 접속 시 공격자가 랜섬웨어 유포를 위해 만들어둔 사이트로 리다이렉트
외부 저장 장치 - 랜섬웨어에 감염된 혹은 유포를 위한 USB, 외장하드 등을 PC에 연결 시 랜섬웨어 유포
보안 패치가 부족한 PC 환경 - OS, 백신 등 최신 패치가 되어있지 않을 경우 랜섬웨어 감염 가능성이 높음
공유 폴더 - PC의 특정 폴더를 다른 사용자와 공유하여 사용하는 경우
- 공유폴더에 랜섬웨어 감염 파일이 존재한다면 감염 가능

4. 대응 방안

정기적 데이터 백업 - 물리적으로 분리된 PC 또는 클라우드 등에 중요자료에 대한 백업을 생성
최신 버전 업데이트 - 소프트웨어, 백신, OS 등을 최신 버전으로 업데이트
불명확한 출처에 대한 주의 - 이메일, URL, P2P, 신뢰할 수 없는 사이트 등 불명확한 출처에서 파일 다운 및 실행 주의
PC 점검 - PC의 보안상태 점검
보안 솔루션 도입 - 보안 솔루션(Endpoint, Anti-Spam, IPS 등), 2단계 인증, 네트워크 모니터링 등
보안 교육 - 사용자들이 랜섬웨어뿐만 아니라 다양한 위협에 대해 경각심을 가질 수 있도록 교육 진행
네트워크 차단 - 랜섬웨어에 감염되었을 경우 전파의 위험이 있으므로 랜선 제거, 네트워크 공유 해제 등 격리 조치
외부 저장 장치 통제 - USB 자동실행 기능 비활성화, 보안성 검토 후 사용
랜섬 지불 거부/지양 - 데이터를 돌려받는 보장이 없으며, 공격 시도 증가 초래
KISA - KISA에서 제공하는 랜섬웨어 복구 솔루션 혹은 랜섬웨어 솔루션 무상지원 사업 이용

 

'랜섬웨어 > 기본' 카테고리의 다른 글

서비스형 랜섬웨어(RaaS)  (1) 2022.09.18

+ Recent posts