랜섬웨어란?

아티클
10/31/2024

실제로 랜섬웨어 공격은 몸값이 지불될 때까지 데이터에 대한 액세스를 차단합니다.

실제로 랜섬웨어는 컴퓨터, 서버 또는 디바이스의 파일과 폴더를 파괴하거나 암호화하는 맬웨어 또는 피싱 사이버 보안 공격의 유형입니다.

디바이스 또는 파일이 잠겨 있거나 암호화되면 사이버 범죄자는 암호화된 데이터의 잠금을 해제하는 키를 대가로 비즈니스 또는 디바이스 소유자로부터 돈을 갈취할 수 있습니다. 그러나 유료인 경우에도 사이버 범죄자는 비즈니스 또는 디바이스 소유자에게 키를 부여하지 않고 영구적으로 액세스를 중지할 수 있습니다.

보안 용 Microsoft Copilot는 AI를 활용하여 랜섬웨어 공격을 완화합니다. 랜섬웨어에 대한 Microsoft 솔루션에 대한 자세한 내용은 랜섬웨어 솔루션 라이브러리를 방문 하세요.

랜섬웨어 공격은 어떻게 작동합니까?

랜섬웨어는 자동화되거나 키보드에 사람의 손을 포함 할 수 있습니다 - LockBit 랜섬웨어를 사용하여 최근 공격에서 볼 수 있듯이, 사람이 운영하는 공격.

사람이 운영하는 랜섬웨어 공격에는 다음 단계가 포함됩니다.

초기 손상 - 위협 행위자는 먼저 정찰 기간에 따라 시스템 또는 환경에 액세스하여 방어의 약점을 식별합니다.
지속성 및 방어 회피 - 위협 행위자는 인시던트 대응 팀의 탐지를 피하기 위해 스텔스로 작동하는 백도어 또는 기타 메커니즘을 사용하여 시스템 또는 환경에 발판을 마련합니다.
횡적 이동 - 위협 행위자는 초기 진입점을 사용하여 손상된 디바이스 또는 네트워크 환경에 연결된 다른 시스템으로 마이그레이션합니다.
자격 증명 액세스 - 위협 행위자는 가짜 로그인 페이지를 사용하여 사용자 또는 시스템 자격 증명을 수집합니다.
데이터 도난 - 위협 행위자는 손상된 사용자 또는 시스템에서 금융 또는 기타 데이터를 도용합니다.
영향 - 영향을 받는 사용자 또는 조직에서 중대한 또는 평판 손상을 입을 수 있습니다.

랜섬웨어 캠페인에 사용되는 일반적인 맬웨어

Qakbot – 피싱을 사용하여 악성 링크, 악성 첨부 파일을 퍼뜨리고 Cobalt Strike Beacon과 같은 악의적인 페이로드를 삭제합니다.
Ryuk – 일반적으로 Windows를 대상으로 하는 데이터 암호화기
Trickbot – Excel 및 Word와 같은 Microsoft 애플리케이션을 대상으로 지정했습니다. Trickbot은 일반적으로 사용자가 악성 파일 첨부 파일을 열거나 악성 파일을 호스팅하는 웹 사이트에 대한 링크를 클릭하도록 유도하기 위해 현재 이벤트 또는 금융 유혹을 사용하는 이메일 캠페인을 통해 전달되었습니다. 2022년 이후 Microsoft에서 이 맬웨어를 사용한 캠페인 완화로 인해 유용성이 저하된 것으로 보입니다.

랜섬웨어 캠페인과 관련된 널리 퍼진 위협 행위자

LockBit – 2023-24년 기간에 재정적으로 동기를 부여한 RaaS(랜섬웨어 서비스) 캠페인 및 가장 많은 랜섬웨어 위협 행위자
Black Basta – 스피어 피싱 이메일을 통해 액세스 권한을 얻고 PowerShell을 사용하여 암호화 페이로드를 시작합니다.

공격이 시작되면 Microsoft가 어떻게 도울 수 있나요?

진행 중인 랜섬웨어 공격을 완화하기 위해 Microsoft 인시던트 대응은 ID 관련 위협을 감지하고 대응하는 데 도움이 되는 클라우드 기반 보안 솔루션인 Microsoft Defender for Identity를 활용하고 배포할 수 있습니다. 인시던트 대응에 ID 모니터링을 조기에 도입하면 영향을 받는 조직의 보안 운영 팀이 제어권을 다시 얻을 수 있습니다. Microsoft 인시던트 대응은 Defender for Identity를 사용하여 인시던트 범위 및 영향을 받은 계정을 식별하고, 중요한 인프라를 보호하며, 위협 행위자를 제거합니다. 그런 다음 대응 팀은 엔드포인트용 Microsoft Defender 가져와 위협 행위자의 움직임을 추적하고 손상된 계정을 사용하여 환경을 다시 입력하려는 시도를 방해합니다. Microsoft 인시던트 대응은 인시던트 제어 및 환경에 대한 모든 관리 제어를 포함하는 후 고객과 협력하여 향후 사이버 공격을 방지합니다.

자동화된 랜섬웨어 공격

상용 랜섬웨어 공격은 종종 자동화됩니다. 이러한 사이버 공격은 바이러스처럼 확산되고, 이메일 피싱 및 맬웨어 전송과 같은 방법을 통해 디바이스를 감염시키고, 맬웨어 수정이 필요할 수 있습니다.

따라서 맬웨어 및 피싱 배달로부터 보호하는 Office 365용 Microsoft Defender 사용하여 전자 메일 시스템을 보호할 수 있습니다. 엔드포인트용 Microsoft Defender Office 365용 Defender 함께 작동하여 디바이스에서 의심스러운 활동을 자동으로 감지하고 차단하는 반면 Microsoft Defender XDR은 맬웨어 및 피싱 시도를 조기에 검색합니다.

사람이 운영하는 랜섬웨어 공격

사람이 운영하는 랜섬웨어는 조직의 온-프레미스 또는 클라우드 IT 인프라에 침투하고, 권한을 상승시키고, 중요한 데이터에 랜섬웨어를 배포하는 사이버 범죄자들의 적극적인 공격의 결과입니다.

이러한 "실습 키보드" 공격은 일반적으로 단일 디바이스가 아닌 조직을 대상으로 합니다.

또한 사람이 운영하는 것은 일반적인 시스템 및 보안 잘못된 구성에 대한 인사이트를 사용하는 인간 위협 행위자가 있다는 것을 의미합니다. 조직에 침투하고, 네트워크를 탐색하고, 환경 및 약점에 적응하는 것을 목표로 합니다.

이렇게 사람이 운영하는 랜섬웨어 공격의 특징으로는 자격 증명 도난 및 도난 당한 계정의 권한 상승을 통한 수평 이동이 있습니다.

활동은 유지 관리 기간 동안 수행될 수 있으며 사이버 범죄자가 발견한 보안 구성 격차가 활용될 수 있습니다. 목표는 위협 행위자가 선택하는 높은 비즈니스 영향 리소스에 랜섬웨어 페이로드를 배포하는 것입니다.

Important

이러한 공격은 비즈니스 운영에 치명적일 수 있으며 정리하기가 어렵기 때문에 향후 공격으로부터 보호하기 위해 완전한 악의적 사용자 제거가 필요합니다. 일반적으로 맬웨어 수정만 필요한 상용 랜섬웨어와 달리, 사람이 운영하는 랜섬웨어는 초기 만남 이후에도 비즈니스 운영을 계속 위협합니다.

인간이 운영하는 랜섬웨어 공격이 계속될 영향과 가능성

조직을 위한 랜섬웨어 방지

먼저 맬웨어 및 피싱 배달로부터 보호하기 위해 Office 365용 Microsoft Defender 피싱 및 맬웨어 배달을 방지하고, 엔드포인트용 Microsoft Defender 디바이스에서 의심스러운 활동을 자동으로 검색 및 차단하고, Microsoft Defender XDR을 사용하여 맬웨어 및 피싱 시도를 감지합니다.일찍.

랜섬웨어와 강탈에 대한 포괄적인 보기와 조직을 보호하는 방법은 인간이 운영하는 랜섬웨어 완화 프로젝트 계획 PowerPoint 프레젠테이션의 정보를 참조하세요.

랜섬웨어 방지 및 완화에 대한 Microsoft 인시던트 대응의 접근 방식을 따릅니다.

팀에 공격을 경고한 의심스러운 활동을 분석하여 상황을 평가합니다.
인시던트에 대해 처음 알게 된 시간/날짜는 언제인가요? 어떤 로그를 사용할 수 있으며 행위자가 현재 시스템에 액세스하고 있다는 표시가 있나요?
영향을 받는 LOB(기간 업무) 애플리케이션을 식별하고 영향을 받는 시스템을 다시 온라인으로 가져옵니다. 영향을 받는 애플리케이션에 손상되었을 수 있는 ID가 필요한가요?
애플리케이션, 구성 및 데이터의 백업을 사용할 수 있고 복원 연습을 사용하여 정기적으로 확인합니까?
CR(손상 복구) 프로세스를 결정하여 환경에서 위협 행위자를 제거합니다.