2018 년 3 월, 애틀랜타는 서버를 포함하여 애틀랜타시에 속한 거의 3,800 개의 정부 컴퓨터를 감염시킨 랜섬웨어 공격 을 받았습니다 . 바이러스가 배포 된 후 랜섬웨어는 기본적으로 감염된 모든 컴퓨터를 잠그고 액세스 할 수 없게했습니다. 애틀랜타의 법정 시스템이 무너졌습니다. 경찰은 번호판을 확인할 수 없었습니다. 주민들은 온라인으로 청구서를 지불 할 수 없었습니다.
애틀랜타가 공격을 받기 불과 3 주 전 앨라배마 주 리즈 의 작은 도시 에서도 동일한 사이버 공격을 경험했습니다. 그리고 1 월에 리즈 이전 에는 인디애나 폴리스 교외에있는 핸콕 지역 병원 이었습니다 .
이 세 가지 공격의 공통점은 모두 MSIL / Samas.A라고도 하는 SamSam 랜섬웨어에 의해 공격을 받았다는 것입니다. 각각의 공격은 약 $ 50,000 의 암호 화폐를 요구했습니다 . 알라바마 주 핸콕 지역 병원과 리즈가 몸값을 지불했습니다. 그러나 애틀랜타시는 그렇지 않았습니다. 대신 시스템을 다시 온라인 상태로 만들기 위해 수백만 달러를 지불하기로 결정했습니다.
당시 애틀랜타시는 랜섬웨어 공격을 가장 많이받은 곳 중 하나 였는데, John Hulquist에 따르면 사이버 범죄자가 컴퓨터 네트워크에 액세스하여 모든 데이터를 암호화하고 회사가이를 잠금 해제하도록 강요하는 경우입니다. Hulquist는 인텔리전스 주도 보안 회사 인 FireEye의 Mandiant Threat Intelligence 분석 부사장 입니다.
랜섬웨어는 새로운 것이 아닙니다
Hulquist는 요구 된 몸값이 지불 될 때까지 회사 네트워크를 "인질"로 유지하는 랜섬웨어 공격은 새로운 것이 아닙니다. (이 세 가지 사례에서 알 수 있듯이) 몇 년 동안 계속되었습니다.
Check Point Software Technologies의 연구에 따르면 2021 년 상반기에 전 세계 랜섬웨어의 영향을받는 조직의 수가 2020 년에 비해 두 배 이상 증가했습니다 . FireEye의 Mandiant M-Trends 2021 보고서 는 또한 데이터를 도난 당했을 가능성이있는 800 건 이상의 강탈 시도를 확인했습니다. 이 수치는 2019 년 10 월 1 일부터 2020 년 9 월 30 일까지 수행 된 표적 공격 활동에 대한 Mandiant 조사를 기반으로합니다.
표적은 이제 훨씬 더 유명 해지고 있습니다. 4 월 이후 미국에서만 Colonial Pipeline , JBS Foods , NBA 및 Cox Media Group 과 같은 저명한 회사 가 모두 타격을 받았습니다.
해커는 일반적으로 피싱 공격을 통해 네트워크에 액세스합니다. 피싱 공격 은 직원에게 전송되어 암호를 포기하거나 악성 링크를 클릭하여 회사 네트워크에 맬웨어를 다운로드하도록 속이는 이메일입니다. 랜섬웨어는 또한 예를 들어 123qwe와 같이 쉽게 크래킹되는 암호를 통해 회사 네트워크의 다른 항목을 찾습니다.
왜 그렇게 많고 왜 지금인가?
Hulquist는이를 다음과 같이 설명합니다. 원래 랜섬웨어는 대부분 자동화되었으며 소규모 시스템을 대상으로했습니다. 그는 그것을 "스프레이와기도"라고 부릅니다.
"랜섬웨어는 나가서 얻을 수있는 모든 시스템을 공격 할 것입니다."라고 그는 설명합니다. 취약한 암호, 개방형 네트워크, 쉬운 진입로를 찾았습니다. "[공격자들]은 매우 친근한 것으로 알려져있었습니다. 그들은 데이터를 잠금 해제하고 때로는 할인을 제공하기도합니다. 그는 비트 코인이 그 돈을 이체 할 수있는 좋은 플랫폼을 제공했다고 말합니다. 그것이 바로 리즈에서 일어난 일입니다. 공격자들은 $ 60,000를 요구했습니다. 마을 은 8,000 달러를 지불했습니다 .
하지만 상황이 바뀌 었다고 Hulquist는 말합니다. 랜섬웨어는 자동화 된 "스프레이 및기도"에서 더 많은 돈을 가진 대기업에 대한 대규모 직접 공격으로 전환되었습니다. 그리고 몸값이 치솟았습니다. 블록 체인과 암호 화폐 를 분석하는 Chainanalysis 의 최신 보고서에 따르면, 2020 년에 기업은 공격자에게 몸값으로 4 억 6 천만 달러 이상의 암호 화폐 를 지불했습니다 .
Hulquist는 "이러한 새로운 목표는 종종 중요한 인프라이기 때문에 비용을 지불해야합니다."라고 말합니다. "그들은 온라인으로 돌아와야합니다. 소비자는 실제로 이러한 회사가 지불하는 한 성급한 결정을 내 리도록 강요하기 때문에 요인입니다."
지불하거나 지불하지 않습니까?
콜로니얼 파이프 라인 공격의 경우였습니다. 이 핵은 4 월 29 일 미국에서 가장 큰 연료 파이프 라인을 무너 뜨 렸고 동부 해안 전역에 대량의 연료를 축적했습니다. Colonial Pipeline의 CEO Joseph Blount 는 The Wall Street Journal 에 파이프 라인을 다시 온라인 상태로 만들기 위해 회사가 몸값 ( 비트 코인으로 440 만 달러)을 지불 했다고 말했습니다 . 그러나 적들이 제공 한 암호 해독 키는 모든 파이프 라인의 시스템을 즉시 복원하지 못했습니다.
그리고 그것은 몸값을 지불하는 문제 중 하나 일뿐입니다. 또 다른 주요 질문은 몸값을 지불하는 것이 더 많은 문제를 조장하는지 여부입니다. Hulquist는 "몸값을 지불하는 것이 더 많은 표적 공격으로 이어진다 고 생각합니다.하지만 불가능한 상황에 처한 회사라면 조직을 위해 올바른 일을해야합니다."라고 말합니다.
콜로니얼에게 좋은 소식 은 6 월 7 일 미국 법무부 가 해커들에게 지불 한 약 230 만 달러의 콜로니얼 가치에 해당하는 63.7 개의 비트 코인을 회수 했다고 발표 했다는 것입니다. Hulquist는 "미국의 중요한 인프라를 방해 한 운영자로부터 몸값을 회수하기위한 법무부의 움직임은 환영할만한 발전입니다."라고 말합니다. "이 심각한 문제의 흐름을 막기 위해 몇 가지 도구를 사용해야한다는 것이 분명해졌습니다."
물론 몸값을 지불하지 않는 것도 문제가 될 수 있습니다. Hulquist는 "이 회사 중 일부는 비용을 지불하지 않기 때문에 데이터를 공개적으로 유출하여 비용을 지불하도록 강요합니다."라고 말합니다. "이것은 많은 조직이 일부를 원하지 않는 제안입니다." 유출 된 이메일 및 기타 독점 정보는 단순히 지불하는 것보다 일부 기업에 훨씬 더 큰 피해를 줄 수 있다고 그는 말합니다. 법적 문제를 일으키거나 브랜드를 손상시킬 수 있습니다.
다른 해커는 랜섬웨어를 설치 하지 않고 단순히 지불을 요구합니다 . 4 월 휴스턴 로켓에 대한 공격 중에 일어난 일입니다. NBA 팀의 네트워크에는 랜섬웨어가 설치되지 않았지만, 해킹 그룹 Babuk 은 비용을 지불하지 않으면 팀 시스템에서 훔쳤다고 주장하는 계약 및 비공개 계약 을 게시하겠다고 위협 했습니다.
정부는 무엇을하고 있습니까?
Hulquist는 정부가 할 수있는 일이 훨씬 더 많다고 말합니다. "우리는이 문제가 한동안 증가하고 있다는 것을 알고 있었고 마침내 이제 막 심각하게 받아들이고 노력을 강화하고 있습니다."라고 그는 말합니다.
물론 그는 랜섬웨어 공격의 급증에 대응하여 Biden 행정부가 제시 한 몇 가지 새로운 이니셔티브를 언급하고 있습니다. 5 월 12 일 Biden 대통령 은 연방 정부 네트워크의 사이버 보안을 개선 하기 위해 고안된 행정 명령에 서명했습니다 . 실행 조치 중에는 NTSB (National Transportation Safety Board)를 모델로 한 사이버 보안 안전 검토위원회를 설치할 예정입니다. 패널에는 NTSB가 사고를 조사하는 방법과 유사한 사이버 사고를 조사 할 공공 및 민간 전문가가 포함될 가능성이 높습니다.
Biden의 사이버 및 신흥 기술 부보좌관이자 국가 안보 부고 문인 Anne Neuberger도 6 월 2 일 "기업 경영진 및 비즈니스 리더" 에게 보내는 공개 서한을 발표했습니다 .
그녀 는 사설 부문 이 사이버 위협으로부터 보호 할 책임이 있으며 조직은 "크기 나 위치에 관계없이 어떤 회사도 랜섬웨어의 표적이되는 것이 안전하지 않다는 것을 인식해야합니다. 랜섬웨어 범죄를 진지하게 받아들이고 기업 사이버 방어가 위협과 일치합니다. "
회사를 보호하는 방법
네트워크를 안전하게 유지하려면 어떻게해야합니까? CISA (Cybersecurity and Information Security Agency)와 FBI는 5 월 11 일 랜섬웨어 공격으로 인한 비즈니스 중단을 방지하기위한 모범 사례를 발표했습니다. 여기에는 랜섬웨어에 의해 손상 될 위험을 줄이기 위해 기업이 지금 수행 할 수있는 6 가지 완화 조치가 나열 되어 있습니다.
- 운영 기술 (OT) 및 IT 네트워크에 대한 원격 액세스를 위해 다단계 인증이 필요합니다.
- 강력한 스팸 필터를 사용하여 피싱 이메일이 최종 사용자에게 전달되지 않도록합니다. 실행 파일이 포함 된 이메일을 최종 사용자에게 전달하지 못하도록 필터링합니다.
- 사용자 교육 프로그램과 스피어 피싱 공격 시뮬레이션을 구현하여 사용자가 악성 웹 사이트를 방문하거나 악성 첨부 파일을 열지 못하도록하고 스피어 피싱 이메일에 대한 적절한 사용자 응답을 강화합니다.
- 네트워크 트래픽을 필터링하여 알려진 악성 IP 주소와의 수신 및 송신 통신을 금지합니다. URL 차단 목록 및 / 또는 허용 목록을 구현하여 사용자가 악성 웹 사이트에 액세스하지 못하도록합니다.
- IT 네트워크 자산의 운영 체제, 애플리케이션 및 펌웨어를 포함한 소프트웨어를 적시에 업데이트합니다. 중앙 집중식 패치 관리 시스템 사용을 고려하십시오. 위험 기반 평가 전략을 사용하여 패치 관리 프로그램에 참여해야하는 OT 네트워크 자산 및 영역을 결정합니다.
- 특히 원격 관리를위한 보안 네트워크 통신 프로토콜 인 RDP (원격 데스크톱 프로토콜)를 제한하여 네트워크를 통한 리소스에 대한 액세스를 제한합니다. 위험을 평가 한 후 RDP가 운영상 필요하다고 판단되면 원본 소스를 제한하고 다단계 인증을 요구합니다.
한 - Hulquist는 게임의 전체 목적은 지금 지불 할 가능성이 큰 대상 칠 말한다 가 지불합니다. 중요한 인프라를 오프라인으로 전환하는 것은 당연한 일이 아닙니다. 미국은 준비가되어 있지 않다고 그는 말한다.
"우리의 정교함은이 공간에서 우리의 아킬레스 건입니다."라고 그는 말합니다. "그것은 우리를 사고에 더 취약하게 만듭니다.이 모든 것에서 우리가 취해야 할 교훈 중 하나는 사이버 전쟁에 대비하지 않았다는 것입니다. 우리는 그들이 건강 관리 및 기타 중요한 기능을 목표로 삼았다는 것을 알고 있습니다. 모두가 이것으로부터 배우고 있습니다. "
이제 미친 짓이야
그렇다면 이러한 모든 랜섬웨어 공격의 배후에는 누가 있습니까? 애틀랜타를 무너 뜨린 랜섬웨어 인 SamSam을 기억하십니까? 2018 년에는 대배심이 돈을 받고 있던 두 명의이란 인을 기소했습니다. NETWALKER, REvil 및 Darkside 와 같은 세 가지 다른 랜섬 웨어는 RaaS (Ransomware-as-a-Service)로 알려진 것으로, 이는 악성 코드를 퍼뜨리는 모든 사람에게 지불금의 10 ~ 25 %를 제공함을 의미합니다. Darkside 는 Colonial Pipeline 공격의 배후에 있었다고합니다. 이러한 작업은 러시아에있는 것으로 보입니다.
