Test the Bitdefender products

이동

랜섬웨어의 새로운 트렌드 : 중소기업을 노려라

2018-05-29
중소기업, 정보는 대기업 수준이지만 보안은 개인 수준 돈 내도 데이터 돌려주지 않는 사례 역시 증가 추세 [출처:보안뉴스- 비트디펜더 수석연구원 인터뷰 참조]

랜섬웨어의 새로운 트렌드 : 중소기업을 노려라

2018-05-29

[보안뉴스 문가용 기자] 역설적으로 들릴지 모르겠지만 랜섬웨어는 신뢰를 기반으로 하고 있는 범죄다. 피해자들은 범죄자들이 데이터를 돌려줄 것이라고 믿고 돈을 내기 때문이다
물론 이는 어느 정도 사실이다. 아니, 사실이었다. 그러나 랜섬웨어 비용이 높아지는 반면 아무 데이터도 돌려주지 않는 사례가 점점 늘어나고 있다. 이는 보안 전문업체 비트디펜더(Bitdefender)가 중소기업에서 근무하는 IT 전문가 250명을 대상으로 조사를 실시해 나온 결과다

 

또 다른 보안 전문업체인 스파이스웍스(Spiceworks)도 최근 중소기업들을 대상으로 비슷한 조사를 실시했는데, 지난 12개월 동안 중소기업 5군데 중 1군데 꼴로 랜섬웨어 공격을 받은 적이 있다는 사실을 발견했다. 그 중 표적형 공격을 받은 경우는 20%였고, 38%는 공격자들에게 평균 242 3000원을 지불했다. 하지만 정보를 되돌려 받은 경우는 45%에 불과했다.

비트디펜더의 수석 분석가인 보그단 보테자투(Bogdan Botezatu)최근까지 랜섬웨어라는사업의 핵심은 정직성이었다적어도 데이터 돌려받을 걸 확신할 수 있으니 피해자들이 돈을 내는 것이었다고 설명한다. “하지만 세상에 변하지 않는 건 없고, 랜섬웨어 범죄자들의 이러한미덕역시 사라지고 있는 듯 합니다.”

이는 사이버 범죄의 영역이 확대됨에 따라 경계선이 흐려지고 있기 때문에 나타나는 현상이라고 보테자투는 분석한다. “예전엔 범죄자들도 의료 기관이나 의료 정보를 훔쳐내지 않았어요. 환자를 건드리지 않는 게 불문율 같은 것이었습니다. 하지만 요 몇 년 동안 활동하는 사이버 범죄자들은 어떤가요? 의료 기관들을 집중적으로 노리고 있죠. 정보 보안이 강하지 않으니까요.”

비슷한 맥락에서 중소기업들에 대한 공격이 점차 증가하고 있다는 것도 눈여겨볼 만한 흐름이다. “중소기업 역시 의료기관들처럼 보안이 많이 취약합니다. 랜섬웨어로 노려보기 쉬운 곳이죠. 랜섬웨어는 개인을 노리거나 아예 대기업에 침투해 커다란 금액을 요구하는 게 보통이었는데요, 요즘은 그 중간에 있는 중소기업들이 더 빈번한 표적이 되고 있습니다.”

보안이 취약한 곳은 많을 텐데, 왜 중소기업일까? “일단 기업활동을 하는 곳이니 민감한 정보를 풍부하게 가지고 있지만(고객 정보, 금융 정보, 지적재산 등) 보안은 대기업 수준에 전혀 못 미치고 있기 때문입니다. 보안 교육을 전혀 하지 않는 곳이 대다수죠. , 정보는 대기업처럼 가지고 있는데, 보안 수준은 개인의 그것과 거의 다를 바가 없다는 겁니다.”

또한 공격자들은 중소기업을 공격할 경우 대부분 돈을 낸다는 사실도 잘 알고 있다고 그는 말한다. 왜냐하면 중소기업이 다루고 있는 정보가 매우 민감한 것이기 때문이다. “개인에게서 뜯어낼 수 있는 돈은 많아야 1백만원 정도입니다만, 중소기업은 훨씬 많죠. 고객 정보가 당했다면, 중소기업은 사업을 접을 각오를 해야 합니다. 차라리 랜섬을 내고 말죠.”

중소기업들을 노리는 랜섬웨어 공격은 77%가 이메일을 통해 시작된다. 사이버 범죄자들은 이메일을 사용해 중소기업 내 누군가가 악성 파일을 열거나 다운로드 하도록 유혹한다. 혹은 악성 링크를 클릭하도록 유도하기도 한다. 악성 파일 공격에 당했다는 중소기업은 약 56%였고, 악성 링크에 당했다는 경우는 약 54%였다. 소셜 엔지니어링 공격에 당한 경우도 31%나 되었다.

이는 꽤나 중요한 문제입니다. 왜냐하면 일단 이메일 사용을 전면 금지한다는 건 있을 수 없는 일이기 때문입니다. 즉 알면서도 최대 공격 경로를 열어두어야만 한다는 겁니다. 비슷하게 SNS 활동 역시 필수처럼 굳어져 가고 있는 추세라 공격은 더욱 교묘하고 거세게 들어올 예정입니다.”

랜섬웨어 공격에 당한 중소기업들 중 랜섬을 내지 않은 기업들 중 65%는 평소 백업을 잘 해두었던 것으로 나타났다. 반면 보안 소프트웨어나 전문가의 도움을 받은 경우는 52%였다. 해결책도 찾지 못하고 돈을 내지도 않아 데이터를 몽땅 잃어버린 경우는 33%에 달했다

보테자투는백업 계획을 철저하게 세워야 할 것이라고 강력하게 권고했다. “랜섬웨어 공격은 매우 불안정한 공격입니다. 딱 한 번의 요행수를 바라는 공격인 것이죠. APT 공격처럼 꾸준하거나 장기적인 계획 같은 건 전혀 없어요. 그러니 보안 정책이 탄탄하면 할수록 막기 쉬운 게 랜섬웨어입니다.”

그래도 랜섬웨어에 걸렸다면 어떻게 해야 할까? “ 없는 데이터라고 생각하세요. 어쩔 수 없습니다. 돈을 내는 것보다 더 나아요.” 돈을 내면불안정한 1회용 공격이 갑자기 반복적으로 나타나기 시작한다는 게 그 이유다. “한 번 돈을 낸 사람을 다시 공격하는 사례가 많습니다. 게다가 거시적으로 보면 피해자가 낸 돈이 랜섬웨어라는 어둠의 산업 자체를 후원하는 것이나 다름없습니다.”



Close
read more

BadRabbit(배드래빗) 랜섬웨어 주의

2017-10-25
지난 6월 페티야 랜섬웨어 변종, 러시아 및 동유럽 지역 급속도로 확산, 비트디펜더 탐지 및 차단 완료

BadRabbit(배드래빗) 랜섬웨어 주의

2017-10-25
Petya(페티야) 랜섬웨어의 새로운 변종이 전 세계에 퍼지고 있습니다.
Bad Rabbit(배드 레빗)이라고 불리는 이 랜섬웨어는 2017년 10월 24일 우크라이나와 러시아에서 시작되었습니다.



BadRabbit 랜섬웨어는 부팅 불가, 금전 요구 등을 요구하는 매우 악의적인 랜섬웨어이며,
Bitdefender는 새로운 변종의 알려진 샘플을 모두 차단하므로, 개인/기업용 Bitdefender 보안 솔루션의 최신 업데이트 상태를 유지하시기 바랍니다.

비트디펜더 탐지명 : 탐지명 : Gen:Heur.Ransom.BadRabbit.1 &  Gen:Variant.Ransom.BadRabbit.1.  

자세히 보기 : https://labs.bitdefender.com/2017/10/bad-rabbit-ransomware-strikes-ukraine-likely-related-to-goldeneye/

감사합니다.

Close
read more

최근 유행하고 있는 랜섬웨어 예방방법 안내

2016-06-08
CryptXXX를 포함하여 최근 유행하고 있는 랜섬웨어를 비트디펜더를 활용하여 예방할 수 있는 방법에 대해 안내 드립니다.

최근 유행하고 있는 랜섬웨어 예방방법 안내

2016-06-08
안녕하세요~
CryptXXX를 포함하여 최근 유행하고 있는 랜섬웨어를 비트디펜더를 활용하여 예방할 수 있는 방법에 대해 안내 드립니다.

[비트디펜더 제품을 통한 예방법]

1. 실시간 감시기 활성화 (기본 옵션): 시그너처 매칭 방식으로 랜섬웨어 파일이 PC내에 침투되는 경우 탐지하여 삭제합니다.

2. Advanced Threat Control 활성화 (기본 옵션): 가상 에뮬레이터 기반 행위기반 엔진을 통해 악성 프로세스에 의한 암호화 시도 탐지 시 패턴이 존재하지 않더라도 해당 파일을 탐지 및 삭제합니다.

비트디펜더 제품을 통해서는 위 2가지 옵션만 항상 활성화 상태에 두시면 90%이상의 랜섬웨어는 사전에 차단하실 수 있습니다.
참고로 DLL 기반으로 동작하는 랜섬웨어의 경우에는 Advanced Threat Control 기능을 우회할 수 있기 때문에, 다음에서 안내하는 플래쉬 플레이어 최신 업데이트 등을 통해 반드시 취약점을 제거하여 주시기 바랍니다.


[취약점 제거를 통한 대응]

1. Adobe Flash Player 최신버전 업데이트 (필수)
 다운로드 링크 : Adobe Download Center 


2. 출처가 불분명한 js 파일 실행하지 않기 (압축파일 형태로 업무 메일로 위장하여 발송)

3. OS 및 그외 소프트웨어 (Microsoft Office 군, Adobe Acrobat, MS Silverlight) 최신버전 업데이트

현재 국내 대형 커뮤니티 사이트를 통하여 대량으로 유포되고 있는 랜섬웨어는 Cryptxxx 계열로 프로세스 기반이 아닌 DLL 형태로 동작되도록 설계되어 있습니다.  
구글 배너광고 송출 서버를 통해 Adobe Flash Player 취약점이 악용되어 배포중이므로 필히 Adobe Flash Player를 최신버전으로 업데이트 하셔야 합니다. PC에 취약점이 존재하는 경우 특정 커뮤니티 사이트 및 일반적인 웹 사이트 접속만으로도 Cryptxxx 감염 피해를 입을 수 있습니다.

4. 비트디펜더 안티 랜섬웨어 툴 설치
 무료입니다. 최근 유행하는 랜섬웨어로부터 보호할 수 있으며, 다른 백신 솔루션과 함께 설치가 가능합니다.

다운로드 링크 : http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe 

감사합니다.

Close
read more

돈? 데이터? Ransomware에 대한 이해 - 1부

2015-05-18
최근 랜섬웨어에 대한 피해 사례와 문의가 많아 게시판 1면에 다시 공지 드립니다.

돈? 데이터? Ransomware에 대한 이해 - 1부

2015-05-18

최근 랜섬웨어에 대한 피해 사례와 문의가 많아 게시판 1면에 다시 공지 드립니다.

그리 오래된 이야기도 아닙니다. 몸값으로 수천 달러를 내지 않으면 감옥에 보내겠다는 협박성 문자를 컴퓨터 바이러스에 의해 받은 남자가 자살을 하는 일이 생겼습니다. 
2014년의 일입니다. 믿기지 않은 이야기처럼 보이지만 그 일은 컴퓨터 바이러스가 사람을 죽이는 첫 번째 사건으로 기록되었습니다.  

그 다음 세대들은 전세계에서 수십만 사용자들의 데이터를 볼모로 잡아 Cryptolocker를 이용해 현금을 긁어 모으고 있습니다. 그리 오래되지도 않아 금새 멀웨어가 CTB(Curve-Tor-Bitcoin) Locker로 다시 돌아왔습니다.


이런 멀웨어들은 여전히 증가하고 있으며, PC뿐만아니라, 스마트폰과 테블릿이 중요한 개인정보 및 회사의 중요한 문서들을 저장하는 경우가 더욱 많아지면서 새로운 복잡한 단계에 이르게 됐습니다.

안티멀웨어 솔루션 개발회사인 비트디펜더는 이 문제에 주목하여 이런 종류의 바이러스가 어떻게 동작하는지를 보여주고 사용자들의 컴퓨터 및 모바일 디바이스가 잠겨서 돈을 빼앗기는 일을 예방할 수 있는 방법을 알려드리고자 합니다.

ransomware란 무엇인가
                                     

Ransomware란 시스템을 감염시킨 다음, 사용자가 돈을 준 후, 데이터에 접근할 수 있게 될 때까지 시스템을 잠궈 놓는 멀웨어의 일종입니다. 서버측의 다형성과 산업용 수준의 배포 기반시설과 함께  멀웨어는 네트워크 시스템의 취약점인 악성 다운로드 파일 또는 심지어 텍스트 메시지를 통해서 시스템 안으로 들어갈 수 있습니다. Ramsomware가 어떻게 사용자의 컴퓨터를 감염시키는지에 대한 좀 더 자세한 글들을 계속 읽어보도록 하십시오.





전통적인 멀웨어와 왜 다른가?

·         피해자의 정보를 훔쳐내는 것이 아니라 암호화 해버립니다.

·         몸값을 요구합니다. 보통은 비트코인으로 요구합니다.

·         만들기가 상대적으로 쉽습니다-정리가 잘 된 crypto-library가 많이 있으며, 거래도 쉽습니다.

 

ransomware의 종류

디바이스를 잠금하는 종류

이런 종류의 ransomware는 기기의 화면을 잠궈 놓거나 기기 접근을 방해할 목적으로 전체화면을 전면에 띄어 놓기도 합니다. 돈을 요구하는 메시지가 오지만 개인적인 파일들을 아직 암호화해 놓지는 않습니다.





파일에 암호를 걸어두는 종류

파일에 암호를 걸어두는 악명 높은 ransomware 종류로는 Cryptowall, Critroni, TorLocker 등이 있습니다.

Cryptolocker같은 파일에 암호를 걸어두는 것들은 문서, 엑셀파일, 사진, 동영상과 같은 개인적인 파일들에 암호를 걸어두는데 이것들은 일단 컴퓨터에 잠입한 후에는 command-and-control center 접속 후 복잡한 암호화 알고리즘을 사용하여 각각의 컴퓨터 파일들에 암호화 키를 생성합니다. 그러면 이제 컴퓨터의 데이터를 사용할 수 없게 되는 겁니다.

그 다음 멀웨어는 메시지를 보내는데 주로 사법 집행기관에서 보내는 것처럼 하여 언급한 날짜까지 돈을 내고(비트코인이나 선불 현금 상품권으로 결제를 요구함) 암호를 풀지 않으면 벌을 받거나 감옥에 간다고 피해자들을 협박하곤 합니다. 사이버 범죄자들은 사용자의 컴퓨터 IP정보를 도용하여 피해자에게 맞춤 화면 잠금 메시지를 보냅니다. 기한 내에 입금을 하지 않으면 개인 해독키를 삭제하겠다는 협박을 하기도 합니다.





일부 사이버 범죄 집단은 TOR를 통해 통신을 익명으로 진행함으로써 새로운 차원으로 변화시키고 있습니다. TorLocker는 지하 포럼에서 제휴 프로그램으로 판매하는 상업용 ransomware toolkit입니다. Tor 기반의 통신은 이 작업을 중단시키는 것이 거의 불가능하지만, 재생가능한 빌트인 키를 이용하면 피해자의 PC가 온라인이 아니더라도TorLocker을 이용해 파일을 암호화 할 수 있습니다.





비트디펜더의 E-threat 수석 분석관인 보그단 보테자투에 따르면, “상황이 더욱 나빠지고 있으며, 이런 종류의 감염들이 더 많이 발견된다고 합니다. “일단 피해자가 되고 나면, 돈을 내지 않고 데이터를 되찾기란 불가능에 가깝습니다. 하지만, 돈을 낸다는 것은 이런 범죄를 부추기는 것이고 그런 연구, 개발에 자금을 대는 꼴이지요. 이런 범죄자들 중에는 돈을 받고도 데이터를 돌려주지 않아 돈도 데이터도 모두 잃게 반드는 자들도 있습니다.”

계속해서 랜섬웨어의 종류와 피해 예방에 대해 2부와 3부가 준비되어 있습니다~


Close
read more

Ransomware는 어떻게 작동하는가? Ransomware에 대한 이해 - 2부

2015-05-28
Ransomware가 무엇인지에 대해 알아봤으니 이제는 그것이 어떻게 퍼지고 컴퓨터를 감염시키게 되는지 보도록 하겠습니다.

Ransomware는 어떻게 작동하는가? Ransomware에 대한 이해 - 2부

2015-05-28

어떻게 시스템 안으로 들어가는가?

일반적인 침투 방법은 아래와 같습니다.

·         스팸, 사회공학적 방법

·         직접적인drive-by-download 또는 악성 광고(배너 등)

·         멀웨어 설치 도구, botnets

몇 년 전에 처음 ransomware라는 것이 나타났을 때는 사용자들이 멀웨어가 포함된 이메일 첨부를 열거나, 속임수 이메일이나 팝업 창을 통해 감염된 사이트로 이동하면서 컴퓨터들이 대부분 감염됐었습니다. 최근 변종들의 payload는 이미지 형태를 띄고 이동식 USB 드라이브나 야후 메신저 등을 통해 퍼져나가는 것이 목격되었습니다.





CTB Locker ransomware는 공격적인 스팸 활동을 통해 피해자들을 양산하면서 언론에 자주 등장하고 있습니다. 이메일은 첨부에 .zip 아카이브를 동반한 팩스 메시지 형태를 하고 있습니다. 그리고, 첨부의 zip 파일 안에 있는 실행 파일에 접근하게 되면 시스템 안에 있는 데이터가 암호화되고 피해자는 해독키를 받으려면 돈을 내라는 요청을 받게 됩니다.

하지만 최근의 변종들은 사람의 행위가 없어도 전파하도록 재설계될 수 있습니다. 최근 소위 “drive-by” ransomware가 개입된 수많은 사건들을 보게 되었는데 drive-by 다운로드 공격은 감염된 사이트나 악성 광고를 통해 시작해 보통은 Flash Player, Java, Adobe Reader 또는 Silverlight같은 브라우저 플러그인의 취약점을 파고 듭니다. 이런 공격에 사용되는 도구들은 권한 상승을 받을 수 있는 기능들이 있는데 이러한 권한 상승을 통해 공격자들은 권한이 제한적인 피해자의 사용자 계정을 사용하는 대신 어드민이나 시스템 수준의 권한을 가지고 멀웨어 프로그램을 실행하게 되는 겁니다.

수법

각각의 ransomware 변종들은 서로 다르게 작동하도록 설계될 수 있습니다. 하지만, 전통적인 안티바이러스 탐지를 피하기 위해 공통적으로 복잡한 난독화, 은밀한 설치 기재를 공통적으로 가지고 있습니다. 이것이 의미하는 바는 멀웨어는 숨어 있기를 바라며 그렇기 때문에 모호한 파일이름, 속성 변조, 합법적 프로그램이나 서비스를 핑계삼아 동작하는 등 탐지와 분석을 회피하는 기술을 사용한다는 겁니다. 멀웨어는 코드 난독화 같은 분석 방어 기법을 통해 데이터를 해독하기 불가능하게 제작되어 리버스 엔지니어링을 하기가 무척 어렵게 되어 있습니다.





Ransomware의 통신 프로토콜이 평이한 텍스트(HTTP)에서 Tor HTTPS로 발전하면서 C&C 서버로의 호출을 암호화하기 때문에 네트워크 트래픽 모니터링을 통해서는 추적하기가 불가능해졌다는 것도 덧붙여 언급해야 할 필요가 있습니다. 파일 암호화는 짧은 키나 하드코드 키를 사용하는 대신 강력한 비대칭 암호기술을 발휘하는 crypto-library를 사용하도록 새로워 졌습니다. Cryptolocker Cryptowall 같은 이전의 샘플들은, 예를 들면, 서버를 먼저 접속하고 그 다음에 암호화를 진행했었습니다.

Ransomware가 어떻게 동작하는지 더 자세히 알기 위해 Cryptolocker를 들여다보도록 하겠습니다. Cryptolocker ransomwareZbot 변종(악성 행위를 실행하도록 사용되는 트로이잔)에 의해 설치됩니다. 설치 후에는 랜덤 이름으로 Startup에 들어가 command and control 서버와 교신을 시도합니다. 그것이 성공하면, 서버는 공용키와 거기에 상응하는 비트코인 주소를 보내줍니다. 비대칭암호화(공용키는 암호화를 하고 개인키는 해독을 함)를 이용하여 Cryptolocker는 피해자 컴퓨터에 존재하는 70여 종 이상의 파일을 암호화하기 시작합니다.





여기에 암호화가 어떻게 진행되는지 간단히 보여드리겠습니다:





그렇지만, 사용자의 홈 화면에는, 보통 사용자에게 맞춤 형태로, 수많은 메시지와 지시사항들이 보여지게 됩니다.





감염 피해자들은 자신들의 서버에 보관된 개인키를 받기 위해서 돈을 내야 하는데 그 키 없이는 해독이 불가능합니다. 몸값이 지불되면 해독이 시작되고 지불 확인 화면이 나타납니다. 해독이 끝나면 Cryptolocker은 삭제됩니다.

주의: 해커의 말을 믿지 마십시오. 돈을 낸다고 파일이 복구된다는 보장은 없습니다.

피해자들은 누구인가?

Ransomware가 가정용 컴퓨터만을 타겟팅하여 노리지는 않습니다. 기업, 금융단체, 정부기관, 교육기관과 여타 단체들이 ransomware에 감염된 사례가 많이 있습니다. 이런 일들은 민감한 단체 소유의 정보들을 파괴하고, 일상 업무를 어렵게 만들며 재정적 손실도 물론 일으킵니다. 단체나 기관의 명성에도 치명적일뿐 아니라, 해커들은 정해진 목표의 파일, 데이터베이스, CAD 파일, 금융 정보 까지도 노립니다. Cryptolocker는 예를 들면, .doc, .img, .av, .src, .cad 등을 포함한 70여 가지 이상의 확장명을 목표로 사용되었습니다. .

비트디펜더의 수석 보안전략관인 카탈린 코소이에 따르면, “성능이 엄청나게 향상되고 있으며 피해자들로부터 돈을 뜯어내는 데 전례없는 성공을 거두고 있는 ransomware는 사용자와 안티멀웨어 벤더 모두에게 심각한 위협이라고 합니다.

계속해서 3부에서는 랜섬웨어 예방법에 대해 알아보도록 하겠습니다.


Close
read more