2016년 1/4분기 크립토 랜섬웨어 활동 보고 - 기업 공격의 발판을 마련한 크립토 랜섬웨어

게시일: 2016-05-04 l 작성자: Trend Micro

2016년 초반의 4개월동안 우리는 새롭고 다양한 랜섬웨어를 발견했습니다. 이러한 랜섬웨어들은 새로운 악질적인 방식으로 행동하며, 랜섬웨어 공격 수위를 한 단계 업그레이드 했다는 것을 알 수 있었습니다. 랜섬웨어의 발전으로 크립토 랜섬웨어는 사이버 공격자들에게 높은 수익을 주는 사업이 되었습니다. 예견한 바와 같이, 2016년은 온라인 강탈의 해가 되어가고 있습니다. 보안 업체들이 새로운 공격 기법에 대응하기 위한 놀라운 기술 및 솔루션을 제공할지라도, 악성코드의 심각성을 정확히 인지하지 못한 일반 대중과 기관들은 악성코드의 공격으로 개인과 기업 정보를 손실하고 막대한 금전적인 피해를 입을 수 있습니다.


새로운 영역으로의 확장

2016년 2월, 할리우드 장로병원(Hollywood Presbyterian Medical Center)로키 랜섬웨어의 공격으로 기관 응급실 시설에 큰 타격을 받았습니다. 위 기관은 파일을 복호화하기 위해 $17,000달러를 지불하였습니다. 곧바로 켄터키주 헨더슨에 위치한 감리병원이 로키의 공격을 받아 환자 정보가 담긴 파일이 암호화 되었습니다. 이 두 사례는 인명을 책임지는 기관으로서 공격의 특정 타겟이 된 것으로 보이며, 따라서 공격자들은 복호화를 위해 터무니 없이 높은 금액을 요구했습니다.

크립토 랜섬웨어의 다음 단계

크립토 랜섬웨어의 가장 기본적인 형태 또한 바뀌고 있습니다. 사이버 공격자들은 피해자들과의 심리게임에서 이기기 위한 다양한 공격 방식을 사용하고 있습니다. 하지만 이것은 단지 표면적으로 나타나는 것일 뿐입니다. 크립토 랜섬웨어 공격 시 마크로, 스크립트 사용, 전문적으로 보이는 페이지 표출 또는 새로운 기능 추가 등의 수법을 사용하여 MBR 변조, 네트워크 교차, 플랫폼 교차 등으로 피해자들이 돈을 지불하도록 압박합니다. 다른 종류의 위협(예, 온라인 뱅킹 악성코드)도 크립토 랜섬웨어에 편승하고 있습니다. DRIDEX 스팸 캠페인이 이와 같은 경우로, 로키와 비슷한 공격 패턴을 보이고 있습니다.

하단은 2016년 1/4분기를 특징지을 수 있는 위협들입니다:

  • Mac OS 공격에 성공한 첫 번째 랜섬웨어 KeRanger
  • MAKTUBLOCKER는 사용자 이름과 이메일을 본문에 적음으로써, 정식 이메일처럼 보이게 하여 사용자가 크립토 랜섬웨어를 다운로드
  • 취약한 JBoss 서버를 운영하는 시스템을 타겟으로 공격하여 네트워크로 공유된 파일을 암호화하는 랜섬웨어 SAMAS/SAMSAM
  • 말하는 랜섬웨어 CERBER는 사용자에게 랜섬 메시지를 소리로 전달하여 돈을 지불하도록 압박
  • 윈도우 파워쉘을 악용하는 PowerWare는 감염경로나 흔적을 최대한 삭제
  • MBR을 변조하여 사용자의 컴퓨터 접근을 막는 PETYA
  • 사용자의 원본파일 복사 후 원본을 삭제하는 JIGSAW는 돈을 지불하지 않으면 시간이 지날수록 데이터를 삭제


그림 1. 크립토 랜섬웨어 패밀리와 변종


그림2. 다양한 이미지를 표출하는 크립토 랜섬웨어 변종(왼쪽 위부터 시계방향):
Keranger, Petya, Jigsaw, and PowerWare

피해 확대

의료기관을 공격한 주요 랜섬웨어에 대해서는 이미 언급하였습니다. 의료기관의 경우, 사이버 공격을 방어하기 위한 보안 장치가 제대로 되어 있지 않은 경우가 많아, 타겟이 되기 쉽습니다. 돈을 따라가 본다면, 의료기관과 마찬가지로 정교한 사이버 보안을 구축하지 않고 주요 정보의 백업을 하지 않은 기업이나 기관이 다음 타겟이 된다는 것을 알 수 있습니다.

월스트리트에 있는 은행이 랜섬웨어의 공격을 받는다고 상상해보십시요. 얼마나 많은 고객정보가 손실될 것입니까? 많은 위협 요소들이 개인보다 중요 기업 데이터를 지닌 기업들을 목표로 공격할 것을 예상하고 있습니다. 물론, 많은 공격자들이 안정적인 수익을 위해 개인 사용자를 타겟으로 할 것입니다. CTO Insights와의 인터뷰에서 트렌드 마이크로의 CTO Raimund Genes는 랜섬웨어의 금액을 지불하면 결국 공격자들이 더 많은 공격을 행하도록 부추기는 것과 동일하다고 하였습니다. “만약 당신의 모든 데이터가 암호화 되어 범죄자들에게 돈을 지불하는 것만이 데이터를 복구할 수 있는 방법이라면, 이해할 수는 있습니다. 하지만 그것이 좋은 것이냐? 그렇지 않습니다.”

랜섬웨어 공격으로부터 피해를 최소화하기

랜섬웨어를 방지하는 것이 어려울 수 있습니다. 하지만 데이터를 백업할 수 있는 방법은 이미 많이 존재합니다. 하드 드라이브에서부터 클라우드 방식 백업까지, 랜섬웨어의 공격으로부터 피해를 완화할 수 있는 올바른 개념과 이해가 중요합니다.

일시적인 솔루션은 없습니다. 하지만 피해를 최소화하고, 피해자가 돈을 지불하지 않기 위해서는 이러한 대책이 필요합니다. 개인 사용자/기업 직원뿐만 아니라 기업 자체적으로 백업을 위한 트렌드마이크로의 3-2-1 규칙을 따르는 것을 강력히 추천합니다.

인터넷 에티켓과 관련하여 사용자는 알 수 없는 사용자가 보낸 첨부파일은 열지 말아야 합니다. 방문하는 사이트가 https인지 확인하고, 자주 방문하는 사이트는 북마크를 해두면 편리합니다. 최신 버전의 OS와 소프트웨어를 유지하고 팝업 광고로부터 다운로드 하는 것을 피해야 합니다.

방어 솔루션

크립토 랜섬웨어가 기업을 공격함으로써, IT 관리자들은 이러한 위협을 개인의 위협으로 볼 것이 아니라, 기업 전체의 문제로 인식해야 합니다. 인터넷 보호와 보안에 대한 직원 교육을 실시해야 합니다. 데이터는 카테고리화 하여 이에 맞게 저장해야 합니다. 중요한 기밀 정보는 별도 저장하여 제한적인 접근만 허용합니다. IT 관리자들은 소프트웨어와 OS가 업데이트 되어있는지 확인하여 취약점으로부터 보호되고 있는지 관리해야 합니다.

랜섬웨어는 다양한 방법으로 컴퓨터를 공격하지만, 트렌드 마이크로는 개인 고객과 네트워크를 보호하기 위한 여러 솔루션을 제공하며, 웹, 이메일, 파일 평판과 애플리케이션 화이트리스팅, 익스플로잇 방지 등의 전체적인 방어법을 구사합니다.

트렌드마이크로 DDEI(Deep Discovery Email Inspector)는 샌드박스 분석에 의한 악성 코드를 사전에 탐지하여 차단시키는 기능을 가지고 있습니다.

트렌드마이크로 오피스스캔(OfficeScan) 11.0, 트렌드마이크로 비즈니스 시큐리티 서비스는 FRS 기술이 적용된 엔드포인드 보안 제품입니다. 동시에, 이러한 엔드포인트 제품에서 동작 모니터링 기술(무단 변경 모니터링)을 강화하여 기존 발견되지 않은 랜섬웨어의 경우에도 동작 기반으로 탐지하고 차단할 수 있습니다. 악성 코드가 포함된 URL로의 연결도 방지할 수 있습니다.

개인용 클라이언트 종합 보안 제품 ‘트렌드마이크로 맥시멈 시큐리티’ 역시 랜섬웨어가 무단으로 데이터를 암호화하거나 변경하려는 움직임을 감지하고 차단하는 기능을 가지고 있습니다.

결론

크립토 랜섬웨어를 사이버 공격자 기업이라고 생각해보면, 이미 자리를 잡은 플레이어와 스타트업이 있고, 그리고 두 종류의 기업 모두 고객의 대응으로 번창하고 있습니다. 이들은 우리가 공격에 어떻게 대응하는가에 따라 행동합니다. 그들이 주도하는 사이버 공격에 지속적으로 돈을 지불한다면, 결국 그들을 더욱 자라게 하는 원인이 될 것입니다. 공급원을 제거하면 그들은 그들이 원하는 것을 얻기 위해 새로운 방법을 찾아낼 것입니다.

이 사이버 공격 기업을 막기 위해서는 기관과 개인이 공격을 예비하여 대응할 수 있어야 합니다. 적절한 보안을 대비하여 모두가 피해자가 되는 것을 방지해야 합니다.


원문: Crypto-ransomware Gains Footing in Corporate Grounds, Gets Nastier for End Users