랜섬웨어란?

랜섬웨어는 로컬 및 네트워크 스토리지의 중요한 파일을 암호화하고 파일을 해독하기 위해 몸값을 요구하는 멀웨어입니다. 해커는 디지털 갈취를 통해 돈을 벌기 위해 악성코드를 개발합니다.

랜섬웨어는 암호화되어 있으므로 키를 강제 할 수 없으며 정보를 복구하는 유일한 방법은 백업을 통해서입니다.

랜섬웨어는 큰 피해를 줍니다. 다른 유형의 멀웨어는 데이터를 파괴하거나 도용하지만 다른 복구 옵션은 열어 둡니다. 랜섬웨어의 경우 백업이 없는 경우 데이터 복구를 위해 몸값을 지불해야 합니다. 때때로 몸값을 지불하고도 공격자는 암호 해독 키를 보내지 않습니다.

중요 정보를 표적으로 삼는 랜섬웨어

랜섬웨어가 작동하기 시작하면 로컬 및 네트워크 저장소를 검색하여 암호화할 파일을 찾습니다. 비즈니스 또는 개인에게 중요하다고 가정하는 파일을 대상으로 합니다. 여기에는 정보 복구에 도움이 될 수 있는 백업 파일이 포함됩니다. 다음은 랜섬웨어 파일 유형입니다.

  • Microsoft Office: .xlsx, .docx, and .pptx plus 이전 버전
  • 이미지: .jpeg, .png, .jpeg, .gif 
  • 비즈니스 관련 이미지: .dwg 
  • 데이터: .sql and .ai
  • 동영상: .avi, .m4a, .mp4
     

서로 다른 유형의 랜섬웨어는 서로 다른 파일 세트를 대상으로 하지만 공통 대상도 있습니다. 대부분의 랜섬웨어는 중요한 비즈니스 정보를 저장하는 경우가 많기 때문에 Microsoft Office 파일을 대상으로합니다. 중요한 파일을 대상으로 지정하면 몸값을 지불할 가능성이 높아집니다.

랜섬웨어 메시지

피싱 이메일은 랜섬웨어가 들어 있는 경우가 많습니다.

랜섬웨어는 활성화된 후 수행하는 작업 때문에 다른 멀웨어와 다릅니다. 일반적으로 사용자가 첨부 파일을 열거나 피싱 이메일의 링크를 클릭 할 때 실행됩니다. 그런 다음 악성코드는 공격자가 제어하는 서버에서 다운로드됩니다.

랜섬웨어 다운로드 후 네트워크 드라이브에서 휴면 상태를 유지하거나 감염된 컴퓨터에서 직접 실행할 수 있습니다. 실행되면 사용 가능한 로컬 및 네트워크 스토리지 시스템에서 대상 파일 확장자를 검색하고 암호화합니다. 암호화는 비대칭 또는 대칭이지만 최근의 많은 랜섬웨어 공격은 둘 다 사용합니다.

공격자의 몸값 요구

공격자는 항상 암호화폐, 비트코인 지불을 요구합니다. 이런 식으로 지불하면 적발 위험이 줄어듭니다. 공격자는 또한 식별되는 것을 피하기 위해 익명 네트워크인 TOR 뒤의 서버를 사용합니다.

랜섬웨어가 파일을 암호화 한 후 비즈니스에 메시지를 표시합니다. 공격자는 파일 잠금을 해제하기 위해 키와 교환하여 지불을 요구합니다. 몸값은 수백 달러 또는 수백만 달러가 될 수 있습니다. 당장 지불하지 않으면 멀웨어가 몸값을 증가시킵니다.

일부 랜섬웨어 공격은 이중 갈취를 특징으로 합니다. 공격자는 파일을 공개하기 위해 요금을 요구합니다. 또한 공격을 받았지만 지불을 거부한 기업 목록도 오픈합니다. 이중 갈취는 몸값을 지불하고도 회사 인지도 손상을 막도록 동기를 유발합니다.

랜섬웨어의 진화

데이터를 암호화하고 사용자가 암호 해독 키를 얻지 못하도록 하는 다양한 랜섬웨어가 있습니다. 이전 랜섬웨어는 클라이언트 또는 서버 비대칭 암호화 또는 단순 대칭 암호화를 사용했습니다. 최신 랜섬웨어는 두 가지를 결합하여 공격의 효율성을 높입니다.

대칭 암호화

오늘날 랜섬웨어 해커는 대칭 암호화 만 사용하는 경우는 거의 없습니다. 대칭 암호화는 자체적으로 암호화 및 복호화에 단일 키를 사용합니다. 키는 종종 로컬 시스템에 저장됩니다. 전문가와 연구원은 몸값을 지불하지 않고도 그것을 찾고 데이터를 해독 할 수 있습니다. 이 문제를 해결하기 위해 해커는 이제 더 일반적으로 하이브리드 암호화를 사용합니다.

클라이언트 측 비대칭 암호화

비대칭 암호화는 공개 키를 사용하여 데이터를 암호화하고 별도의 개인 키를 사용하여 해독합니다. 일반적인 암호화 방법 중 하나는 HTTPS도 사용하는 RSA 암호화입니다. RSA는 대칭 암호화보다 느리며 공격자가 개인 키를 서버로 보내기 전에 모든 파일을 암호화해야 합니다.

소프트웨어는 암호화를 완료하고 개인 키를 공격자의 서버로 보낸 다음 로컬 저장소에서 삭제합니다. 위험은 암호화가 완료되기 전에 컴퓨터가 오프라인 상태가 되는 것입니다. 이 경우 개인 키는 공격자의 서버로 전송되지 않습니다. 그러면 공격자는 몸값을 요구할 수 없습니다.

서버 측 비대칭 암호화

서버 측 비대칭 암호화는 컴퓨터가 온라인 상태가 될 때 파일을 암호화하여 클라이언트 측 암호화 문제를 해결합니다. 공격자의 서버는 개인/공개 키를 생성하고 서버의 공개 키로 파일을 암호화합니다.

몸값을 지불하면 공격자가 해독을 위해 개인 키를 전송합니다. 공격자의 위험은 개인 키가 전송 될 때 키를 가로채서 얻을 수 있다는 것입니다. 공격자에 대한 위험은 개인 키가 전송 될 때 키를 가로채서 얻을 수 있으며,이 키를 영향을 받는 다른 기업과 공유하여 랜섬웨어를 쓸모 없게 만들 수 있다는 것입니다.

하이브리드 암호화

해커들은 이전 버전의 랜섬웨어가 취약하다는 것을 발견하여 하이브리드 버전을 설계했습니다. 하이브리드 버전에서 소프트웨어는 두 세트의 키를 생성하고 암호화 체인은 이전 버전의 문제를 해결합니다. 암호화 체인은 다음과 같이 작동합니다.

  1. 대칭 키는 파일을 암호화합니다.
  2. 소프트웨어는 클라이언트 측 키 쌍을 생성합니다. 클라이언트 측 공개 키는 대칭 키 파일을 암호화합니다.
  3. 소프트웨어는 서버 측 키를 생성합니다. 서버 측 공개 키는 클라이언트 측 개인 키를 암호화한 다음 공격자에게 전달됩니다.
  4. 몸값을 지불하면 서버 측 개인 키가 클라이언트 측 개인 키를 해독하고 이 키는 암호화 체인이 반전되는 비즈니스로 이동합니다.
     

백업으로 랜섬웨어 방지

랜섬웨어로부터 보호하는 가장 좋은 방법은 백업입니다. 로컬 또는 네트워크 드라이브에 저장된 백업 파일은 취약합니다. 클라우드 스토리지는 랜섬웨어 네트워크 스캔으로부터 보호되므로 복구를 위한 좋은 솔루션입니다. 클라우드 스토리지를 로컬 드라이브 또는 하위 폴더로 매핑하는 경우는 예외입니다.

랜섬웨어 손상을 방지하려면 사전 방어가 가장 좋습니다. 대부분의 공격은 사용자가 실수로 소프트웨어를 직접 다운로드하거나 실수로 악성 스크립트를 실행할 때 시작됩니다.

사용자가 랜섬웨어를 다운로드하지 못하도록 하는 두 가지 방법은 인공지능 격리를 통합한 DNS 기반 콘텐츠 필터링과 이메일 사이버 보안입니다. DNS 기반 콘텐츠 필터링은 사용자가 블랙리스트에 있는 웹사이트를 탐색하지 못하도록 합니다. 이메일 필터는 관리자 검토를 위해 악성 콘텐츠 및 첨부 파일을 검역소로 보냅니다.

마지막으로, 모바일을 포함한 모든 디바이스에서 머신러닝 및 동작 모니터링과 함께 멀웨어 방지 소프트웨어를 실행하십시오. 좋은 멀웨어 방지 응용 프로그램은 메모리에 액세스하고 파일을 암호화하기 전에 랜섬웨어를 탐지합니다. 최상의 효과를 얻으려면 멀웨어 방지 소프트웨어가 항상 최신 위협을 인식 할 수 있도록 패치를 적용하고 최신 상태를 유지해야 합니다.

랜섬웨어 공격의 영향력

랜섬웨어 공격은 전 세계적으로 수천 명의 사용자에게 영향을 미칩니다. 어떤 경우에는 피해자가 랜섬웨어가 포함되어 있다고 생각한 이후더라도 피해를 입습니다. 멀웨어 방지 프로그램은 많은 이전 버전을 포착하지만 해커는 탐지를 피하기 위해 지속적으로 새로운 유형을 개발합니다.

예를 들어 2018년과 2019년에 Ryuk 랜섬웨어는 Windows 시스템 복원 기능을 비활성화했습니다. 그런 다음 사용자는 운영 체제의 이전 복원 지점에서 복구 할 수 없습니다. Ryuk은 기업을 표적으로 삼았기 때문에 수십만 달러의 몸값을 요구했습니다.

CryptoLocker, WannaCry 및 Petya는 모두 글로벌 인프라 중단을 일으켜 은행과 정부 기관에도 영향을 미치는 서로 다른 형태의 랜섬웨어였습니다. 특히 WannaCry는 Windows 시스템을 표적으로 삼았으며 미국 NSA(National Security Agency)에서 개발한 익스플로잇을 사용하여 개방형 네트워크 드라이브를 검색하고 취약한 파일을 암호화했습니다.

지속되는 랜섬웨어 위협에는 Gandcrab, SamSam, Zeppelin 및 REvil이 포함됩니다. 이러한 변종은 더 새로운 것이지만 기업 시스템을 파괴 할 수 있는 위험한 멀웨어로 여전히 남아 있습니다.

지속적인 위협을 주는 랜섬웨어

랜섬웨어는 모든 규모의 비즈니스를 대상으로 하여 백업을 사용할 수 없는 경우 기업에 큰 피해를 줍니다. 랜섬웨어가 작동하는 방식과 그것이 비즈니스에 어떤 영향을 미칠 수 있는지 이해하면 이를 잘 방어 할 수 있습니다. 공격을 차단하는 가장 좋은 방법은 사용자를 교육하고 모든 장치에서 멀웨어 방지 프로그램을 실행하고 사용자가 악성 이메일 메시지에 액세스하지 못하도록 하는 것입니다.

관련 연구

관련 기사