Blackcat 랜섬웨어란 무엇이며 이를 방어하는 방법은 무엇입니까?
게시 됨: 2022-12-27사이버 공격은 기존의 취약성을 통해 컴퓨터 시스템이나 네트워크에 무단 액세스하려는 고의적이고 악의적인 시도입니다. 이것은 중요한 정보를 훔치고 정상적인 작동을 방해하기 위해 수행될 수 있습니다.
최근 랜섬웨어는 사이버 범죄자들 사이에서 사이버 공격 도구로 자리 잡았습니다. 랜섬웨어는 일반적으로 피싱 이메일, 드라이브 바이 다운로드, 불법 복제 소프트웨어, 원격 데스크 프로토콜 등을 통해 확산됩니다.
컴퓨터가 랜섬웨어에 감염되면 랜섬웨어는 컴퓨터의 중요한 파일을 암호화합니다. 그런 다음 해커는 암호화된 데이터를 복원하기 위해 몸값을 요구합니다.
사이버 공격은 국가 안보를 위태롭게 하고 경제의 핵심 부문 운영을 마비시키며 막대한 피해와 심각한 재정적 손실을 초래할 수 있습니다. 이것이 바로 WannaCry 랜섬웨어 사이버 공격에서 일어난 일입니다.
2017년 5월 12일, 북한에서 발원한 것으로 추정되는 WannaCry라는 랜섬웨어가 전 세계로 확산되어 이틀도 안 되어 150여 개국의 200,000개 이상의 컴퓨터 시스템을 감염시켰습니다. WannaCry는 Windows 운영 체제를 실행하는 컴퓨터 시스템을 대상으로 했습니다. 운영 체제의 서버 메시지 블록 프로토콜의 취약점을 악용했습니다.
이번 공격의 가장 큰 피해자 중 하나는 영국 국민보건서비스(NHS)였다. 컴퓨터, 극장, 진단 장비 및 MRI 스캐너를 포함한 70,000개 이상의 장치가 감염되었습니다. 의사는 환자를 돌보는 데 필요한 시스템이나 환자 기록에 액세스할 수 없었습니다. 이 공격으로 인해 NHS는 1억 달러에 가까운 비용이 들었습니다.
그것이 얼마나 나빠질 수 있는지입니다. 그러나 상황은 훨씬 더 악화될 수 있으며, 특히 BlackCat과 같은 새롭고 더 위험한 랜섬웨어는 피해자로 가득 찬 경로를 남기고 있습니다.
블랙캣 랜섬웨어
개발자가 ALPHV라고 부르는 BlackCat 랜섬웨어는 시스템 감염 시 영향을 받는 시스템의 데이터를 유출 및 암호화하는 악성 소프트웨어입니다. 유출에는 시스템에 저장된 데이터 복사 및 전송이 포함됩니다. BlackCat이 중요한 데이터를 유출하고 암호화하면 암호 화폐로 지불할 수 있는 몸값을 요구합니다. BlackCat 피해자는 데이터에 다시 액세스하려면 요구된 몸값을 지불해야 합니다.
BlackCat은 일반적인 랜섬웨어가 아닙니다. BlackCat은 일반적으로 C, C++, C#, Java 또는 Python으로 작성된 다른 랜섬웨어와 달리 Rust로 작성된 최초의 성공적인 랜섬웨어였습니다. 또한 BlackCat은 공격에서 훔친 정보를 유출하는 일반 웹 웹사이트를 보유한 최초의 랜섬웨어 제품군이기도 합니다.
다른 랜섬웨어와의 또 다른 중요한 차이점은 BlackCat이 RaaS(Ransomware as a Service)로 작동한다는 것입니다. Raas는 랜섬웨어 제작자가 랜섬웨어를 다른 개인이나 그룹에 서비스로 대여하거나 판매하는 사이버 범죄 비즈니스 모델입니다.
이 모델에서 랜섬웨어 제작자는 다른 사람이 랜섬웨어 공격을 배포하고 실행하는 데 필요한 모든 도구와 인프라를 제공합니다. 이것은 랜섬웨어 지불로 얻은 이익의 일부와 교환됩니다.
이것은 BlackCat이 개인에 비해 일반적으로 몸값을 지불할 의사가 더 많은 조직과 비즈니스를 주로 표적으로 삼은 이유를 설명합니다. 조직과 기업도 개인에 비해 더 큰 몸값을 지불합니다. 사이버 공격에서 인간의 안내와 의사 결정을 사이버 위협 행위자(CTA)라고 합니다.
BlackCat은 피해자에게 몸값을 지불하도록 강요하기 위해 '삼중 갈취 기법'을 사용합니다. 여기에는 피해자의 데이터를 복사 및 전송하고 시스템의 데이터를 암호화하는 작업이 포함됩니다. 그런 다음 피해자는 암호화된 데이터에 액세스하기 위해 몸값을 지불해야 합니다. 그렇게 하지 않으면 데이터가 대중에게 유출되거나 시스템에 대한 서비스 거부(DOS) 공격이 시작됩니다.
마지막으로 데이터 유출의 영향을 받을 대상자에게 연락하여 데이터가 유출될 것임을 알립니다. 이들은 일반적으로 고객, 직원 및 기타 회사 계열사입니다. 이는 피해자 조직이 데이터 유출로 인한 명성 손실 및 소송을 피하기 위해 몸값을 지불하도록 압력을 가하기 위해 수행됩니다.
BlackCat 랜섬웨어 작동 방식
FBI가 발표한 플래시 경고에 따르면 BlackCat 랜섬웨어는 이전에 손상된 사용자 자격 증명을 사용하여 시스템에 대한 액세스 권한을 얻습니다.
시스템에 성공적으로 진입하면 BlackCat은 액세스 권한을 사용하여 활성 디렉토리에 저장된 사용자 및 관리자 계정을 손상시킵니다. 이를 통해 Windows 작업 스케줄러를 사용하여 BlackCat이 랜섬웨어를 배포하여 시스템의 파일을 암호화할 수 있도록 하는 악성 그룹 정책 개체(GPO)를 구성할 수 있습니다.
BlackCat 공격 중에는 PowerShell 스크립트가 Cobalt Strike와 함께 사용되어 피해자 네트워크의 보안 기능을 비활성화합니다. 그런 다음 BlackCat은 클라우드 공급자를 포함하여 저장된 위치에서 피해자의 데이터를 훔칩니다. 이 작업이 완료되면 공격을 유도하는 사이버 위협 행위자는 BlackCat 랜섬웨어를 배포하여 피해자 시스템의 데이터를 암호화합니다.
그런 다음 피해자는 시스템이 공격을 받았고 중요한 파일이 암호화되었음을 알리는 몸값 메모를 받습니다. 몸값은 몸값을 지불하는 방법에 대한 지침도 제공합니다.
BlackCat이 일반 랜섬웨어보다 더 위험한 이유는 무엇입니까?
BlackCat은 여러 가지 이유로 일반 랜섬웨어에 비해 위험합니다.
Rust로 작성되었습니다.
Rust는 빠르고 안전하며 향상된 성능과 효율적인 메모리 관리를 제공하는 프로그래밍 언어입니다. Rust를 사용함으로써 BlackCat은 이러한 모든 이점을 얻어 빠른 암호화를 통해 매우 복잡하고 효율적인 랜섬웨어가 됩니다. 또한 BlackCat이 리버스 엔지니어링을 어렵게 만듭니다. Rust는 위협 행위자가 Windows 및 Linux와 같은 다양한 운영 체제를 대상으로 BlackCat을 쉽게 사용자 지정하여 잠재적인 피해자의 범위를 넓힐 수 있는 크로스 플랫폼 언어입니다.
RaaS 비즈니스 모델을 사용합니다.
BlackCat은 랜섬웨어를 서비스 모델로 사용하여 많은 위협 행위자가 랜섬웨어 생성 방법을 몰라도 복잡한 랜섬웨어를 배포할 수 있습니다. BlackCat은 취약한 시스템에 배포하기만 하면 되는 위협 행위자를 위해 모든 어려운 작업을 수행합니다. 따라서 취약한 시스템을 악용하는 데 관심이 있는 위협 행위자가 정교한 랜섬웨어 공격을 쉽게 수행할 수 있습니다.
제휴사에 막대한 배당금을 제공합니다.
Raas 모델을 사용하는 BlackCat을 통해 제작자는 이를 배포하는 위협 행위자에게 지불되는 몸값에서 일부를 가져가서 돈을 벌 수 있습니다. 위협 행위자의 몸값 지불액의 최대 30%를 차지하는 다른 Raas 계열과 달리 BlackCat은 위협 행위자가 몸값의 80~90%를 차지하도록 허용합니다. 이것은 BlackCat이 사이버 공격에 기꺼이 배포할 더 많은 계열사를 확보할 수 있도록 하는 공격자에 대한 BlackCat의 매력을 증가시킵니다.
그것은 명확한 웹에 공개 누출 사이트가 있습니다
블랙캣은 다크웹에서 훔친 정보를 유출하는 다른 랜섬웨어와 달리 클리어 웹에서 접근 가능한 웹사이트에 훔친 정보를 유출한다. 훔친 데이터를 일반 상태로 유출함으로써 더 많은 사람들이 데이터에 액세스할 수 있으므로 사이버 공격의 영향이 커지고 피해자가 몸값을 지불해야 한다는 압박이 커집니다.
Rust 프로그래밍 언어는 BlackCat을 공격에 매우 효과적으로 만들었습니다. Raas 모델을 사용하고 막대한 지불금을 제공함으로써 BlackCat은 공격에 이를 배치할 가능성이 더 높은 더 많은 위협 행위자에게 어필합니다.
BlackCat 랜섬웨어 감염 체인
BlackCat은 손상된 자격 증명을 사용하거나 Microsoft Exchange Server 취약점을 악용하여 시스템에 대한 초기 액세스 권한을 얻습니다. 악의적인 행위자는 시스템에 대한 액세스 권한을 얻은 후 시스템의 보안 방어를 무너뜨리고 피해자의 네트워크에 대한 정보를 수집하고 권한을 높입니다.
그런 다음 BlackCat 랜섬웨어는 네트워크에서 측면으로 이동하여 가능한 한 많은 시스템에 대한 액세스 권한을 얻습니다. 이것은 몸값을 요구하는 동안 유용합니다. 공격을 받는 시스템이 많을수록 피해자가 몸값을 지불할 가능성이 높아집니다.
그런 다음 악의적인 행위자는 강탈에 사용되는 시스템 데이터를 유출합니다. 중요한 데이터가 유출되면 BlackCat 페이로드가 전달될 단계가 설정됩니다.
악의적인 행위자는 Rust를 사용하여 BlackCat을 제공합니다. BlackCat은 먼저 백업, 바이러스 백신 애플리케이션, Windows 인터넷 서비스 및 가상 머신과 같은 서비스를 중지합니다. 이 작업이 완료되면 BlackCat은 시스템의 파일을 암호화하고 시스템의 배경 이미지를 훼손하여 랜섬 노트로 대체합니다.
BlackCat 랜섬웨어로부터 보호
BlackCat은 이전에 목격된 다른 랜섬웨어보다 더 위험한 것으로 입증되었지만 조직은 여러 가지 방법으로 랜섬웨어로부터 자신을 보호할 수 있습니다.
중요 데이터 암호화
Blackhat의 갈취 전략 중 일부는 피해자의 데이터를 유출하겠다고 위협하는 것입니다. 중요한 데이터를 암호화함으로써 조직은 데이터에 추가 보호 계층을 추가하여 BlackHat 위협 행위자가 사용하는 갈취 기술을 손상시킵니다. 유출되더라도 사람이 읽을 수 있는 형식은 아닙니다.
시스템을 정기적으로 업데이트
Microsoft가 수행한 연구에서 BlackCat이 조직의 시스템에 액세스하기 위해 패치되지 않은 Exchange 서버를 악용하는 경우가 있음이 밝혀졌습니다. 소프트웨어 회사는 시스템에서 발견되었을 수 있는 취약성과 보안 문제를 해결하기 위해 정기적으로 소프트웨어 업데이트를 릴리스합니다. 안전을 위해 소프트웨어 패치가 제공되는 즉시 설치하십시오.
안전한 위치에 데이터 백업
조직은 정기적으로 데이터를 백업하고 별도의 안전한 오프라인 위치에 데이터를 저장하는 것을 우선시해야 합니다. 이는 중요한 데이터가 암호화된 경우에도 기존 백업에서 복원할 수 있도록 하기 위한 것입니다.
다단계 인증 구현
시스템에서 강력한 암호를 사용하는 것 외에도 시스템에 대한 액세스 권한이 부여되기 전에 여러 자격 증명이 필요한 다단계 인증을 구현하십시오. 이는 시스템에 액세스하는 데 필요한 연결된 전화 번호 또는 이메일로 전송되는 일회용 암호를 생성하도록 시스템을 구성하여 수행할 수 있습니다.
네트워크의 활동 및 시스템의 파일 모니터링
조직은 네트워크에서 의심스러운 활동을 가능한 한 빨리 감지하고 대응하기 위해 네트워크 활동을 지속적으로 모니터링해야 합니다. 잠재적인 위협을 식별하기 위해 보안 전문가가 네트워크 활동을 기록하고 검토해야 합니다. 마지막으로, 시스템의 파일이 액세스되는 방식, 파일에 액세스하는 사람 및 파일이 사용되는 방식을 추적할 수 있는 시스템을 마련해야 합니다.
중요한 데이터를 암호화하여 시스템을 최신 상태로 유지하고, 데이터를 정기적으로 백업하고, 다단계 인증을 구현하고, 시스템의 활동을 모니터링합니다. 조직은 한발 앞서 BlackCat의 공격을 방지할 수 있습니다.
학습 리소스: 랜섬웨어
사이버 공격에 대해 자세히 알아보고 BlackCat과 같은 랜섬웨어의 공격으로부터 자신을 보호하는 방법을 알아보려면 다음 과정 중 하나를 수강하거나 아래 제안된 책을 읽는 것이 좋습니다.
#1. 보안 인식 교육
안전한 인터넷 사용에 관심이 있는 모든 사람을 위한 놀라운 과정입니다. 이 과정은 CISSP(Certified Information Systems Security Professional)인 Dr. Michael Biocchi가 제공합니다.
이 과정에서는 피싱, 사회 공학, 데이터 유출, 암호, 세이프 브라우징, 개인 기기를 다루고 온라인에서 안전하게 지내는 방법에 대한 일반적인 팁을 제공합니다. 코스는 정기적으로 업데이트되며 인터넷을 사용하는 모든 사람이 혜택을 볼 수 있습니다.
#2. 보안 인식 교육, 직원을 위한 인터넷 보안
이 과정은 일상적인 인터넷 사용자를 대상으로 하며 사람들이 종종 알지 못하는 보안 위협과 이러한 위협으로부터 자신을 보호하는 방법에 대해 교육하는 것을 목표로 합니다.
CISSP 인증 정보 보안 전문가인 Roy Davis가 제공하는 과정은 사용자 및 장치 책임, 피싱 및 기타 악성 이메일, 사회 공학, 데이터 처리, 암호 및 보안 질문, 세이프 브라우징, 모바일 장치 및 랜섬웨어를 다룹니다. 과정을 이수하면 대부분의 직장에서 데이터 규정 정책을 준수하기에 충분한 수료증을 받게 됩니다.
#삼. 사이버 보안: 완전 초보자를 위한 인식 교육
교육 및 인증 스타트업인 Logix Academy의 Usman Ashraf가 제공하는 Udemy 과정입니다. Usman은 CISSP 인증을 받았으며 박사 학위를 받았습니다. 컴퓨터 네트워크 및 많은 산업 및 교육 경험.
이 과정은 학습자에게 사회 공학, 암호, 보안 데이터 폐기, VPN(가상 사설망), 맬웨어, 랜섬웨어 및 안전한 브라우징 팁에 대해 자세히 설명하고 쿠키를 사용하여 사람들을 추적하는 방법을 설명합니다. 이 과정은 비기술적입니다.
#4. 랜섬웨어 공개
독립 정보 보안 컨설턴트이자 사이버 보안 및 디지털 포렌식 전문가인 Nihad A. Hassan의 저서입니다. 이 책은 랜섬웨어 공격을 완화하고 처리하는 방법을 가르치고 독자들에게 존재하는 다양한 유형의 랜섬웨어, 배포 전략 및 복구 방법에 대한 심층적인 정보를 제공합니다.
| 시사 | 제품 | 평가 | 가격 | |
|---|---|---|---|---|
 | 랜섬웨어 공개: 랜섬웨어 공격으로부터 보호하고 복구하기 위한 초보자 가이드 | $23.74 | 아마존에서 구매 |
이 책에서는 랜섬웨어 감염 시 따라야 할 단계도 설명합니다. 여기에는 몸값을 지불하는 방법, 백업을 수행하고 영향을 받은 파일을 복원하는 방법, 감염된 파일의 암호를 해독하기 위한 암호 해독 도구를 온라인에서 검색하는 방법이 포함됩니다. 또한 조직이 랜섬웨어 손상을 최소화하고 정상 운영을 신속하게 복구하기 위해 랜섬웨어 사고 대응 계획을 개발하는 방법을 다룹니다.
#5. 랜섬웨어: 이해합니다. 예방하다. 다시 덮다
이 책에서 Recorded Future의 선임 보안 설계자이자 랜섬웨어 전문가인 Allan Liska는 랜섬웨어와 관련된 모든 어려운 질문에 답합니다.
| 시사 | 제품 | 평가 | 가격 | |
|---|---|---|---|---|
 | 랜섬웨어: 이해합니다. 예방하다. 다시 덮다. | $17.99 | 아마존에서 구매 |
이 책은 최근 몇 년 동안 랜섬웨어가 만연하게 된 이유, 랜섬웨어 공격을 막는 방법, 악의적인 행위자가 랜섬웨어를 사용하여 노리는 취약점, 최소한의 피해로 랜섬웨어 공격에서 살아남는 방법에 대한 역사적 맥락을 제공합니다. 또한 이 책은 몸값을 지불해야 하느냐는 가장 중요한 질문에 대한 답을 제공합니다. 이 책은 랜섬웨어에 대한 흥미로운 탐구를 제공합니다.
#6. 랜섬웨어 보호 플레이북
랜섬웨어에 대비하려는 개인이나 조직에게 이 책은 반드시 읽어야 할 책입니다. 이 책에서 컴퓨터 보안 및 침투 전문가인 Roger A. Grimes는 사람과 조직이 랜섬웨어로부터 스스로를 보호할 수 있도록 돕기 위해 현장에서 얻은 방대한 경험과 지식을 제공합니다.
| 시사 | 제품 | 평가 | 가격 | |
|---|---|---|---|---|
 | 랜섬웨어 보호 플레이북 | $17.00 | 아마존에서 구매 |
이 책은 랜섬웨어에 대한 강력한 방어 체계를 구축하려는 조직을 위한 실행 가능한 청사진을 제공합니다. 또한 공격을 감지하고 피해를 신속하게 제한하며 몸값을 지불할지 여부를 결정하는 방법도 알려줍니다. 또한 조직이 심각한 보안 위반으로 인한 평판 및 재정적 피해를 제한하는 데 도움이 되는 게임 계획을 제공합니다.
마지막으로 비즈니스 및 일상 생활의 중단을 완화하기 위해 사이버 보안 보험 및 법적 보호를 위한 안전한 기반을 마련하는 방법을 가르칩니다.
저자의 메모
BlackCat은 사이버 보안과 관련하여 현상 유지를 바꿀 수 있는 혁신적인 랜섬웨어입니다. 2022년 3월 현재 BlackCat은 60개가 넘는 조직을 성공적으로 공격했으며 FBI의 관심을 끌었습니다. BlackCat은 심각한 위협이며 어떤 조직도 이를 무시할 수 없습니다.
BlackCat은 최신 프로그래밍 언어와 비전통적인 공격 방법, 암호화 및 몸값 갈취를 사용하여 보안 전문가가 따라잡도록 만들었습니다. 그러나 이 랜섬웨어와의 전쟁에서 패한 것은 아닙니다.
이 기사에서 강조한 전략을 구현하고 사람의 실수로 인해 컴퓨터 시스템이 노출될 가능성을 최소화함으로써 조직은 한 발 앞서 나가 BlackCat 랜섬웨어의 치명적인 공격을 방지할 수 있습니다.