이중 갈취 랜섬웨어의 부상
게시 됨: 2022-01-11
수년 동안 기업은 랜섬웨어 공격의 위협에 직면해야 했습니다. 수익성 있는 해킹은 조직의 일상 업무 기능에 혼란을 야기하여 장치를 종료하고 개인 및 특정 정보를 도용합니다. 이에 대응하여 기술적인 노하우와 예방 시스템이 발전하지만 범죄자들이 활용하는 방식도 발전하고 있습니다. 지난 12개월 동안 기회주의적 공격자들이 하이브리드 운영의 약화 된 안정성 환경에 편승함에 따라 이러한 공격의 선택이 눈에 띄게 증가한 것을 알 수 있었습니다. 영국 제도 기업의 30-7%가 올해 데이터 커미셔너스 사무실(ICO)에 사실 위반 사건을 보고했습니다.
사이버 보안 접근 방식 및 인식 개선으로 인해 공격자는 절차를 발전시키고 규제하기 더 어렵게 만드는 기업의 새로운 영역으로 성장했습니다. 사이버 범죄자의 동기도 변화하고 있습니다. 기업을 보유하는 것에서 돈을 얻기 위한 몸값으로, 일상 생활에 중요한 전문 서비스의 대규모 폐쇄와 같은 정치적 요인에 대해 가능한 한 심각한 혼란을 야기하는 것입니다.
올해 이전에 우리는 랜섬웨어 공격으로 인해 미국에서 Colonial Pipeline에 대한 제품 및 서비스가 중단된 것을 보았습니다. 이 공격은 비상장 기업이 규제를 되찾고 솔루션을 유지하기 위해 5백만 달러로 추정되는 Bitcoin을 분기하도록 압력을 가했습니다. 정확히 같은 달에 아일랜드의 웰빙 서비스 정부는 환자 자신의 정보를 공개할 수 있는 저장을 돕기 위해 2천만 달러의 몸값을 구매해야 한다는 압박을 받았습니다. 계획이 세워진 후에도 520개의 정보가 희미한 인터넷으로 흘러들어갔고, 그럼에도 불구하고 범죄자의 예측 불가능성을 더욱 강조했습니다.
랜섬웨어 공격의 진화는 지난 몇 년 동안 크게 발전했습니다. 이제 정보를 암호화하고 소유주가 몸값을 받도록 하는 대신 이중 갈취 랜섬웨어는 공격자가 먼저 정보를 빼내고 구매 시 표준화된 사실 백업 및 데이터 복원 설계를 구식으로 만들어 기업가에게 손을 대도록 합니다. 범죄자들은 갈취를 위한 다른 방법을 확인했으며 회사는 이 새로운 위험을 정복할 준비를 하고 싶어합니다.
이중 갈취 랜섬웨어란 무엇이며 위험은 얼마나 됩니까?
이중 갈취 랜섬웨어는 범죄자가 훔친 데이터에 대한 몸값을 고객에게 요구할 수 있을 뿐만 아니라 이를 가짜 서약으로 사용하여 공개되지 않도록 합니다. 필요한 기한 내에 몸값이 지불되지 않으면 범죄자는 모든 사람이 볼 수 있도록 잠재적인 경쟁자와 함께 공개할 것입니다.
돈을 지불하지 않으면 커뮤니티 및/또는 고객의 "명예훼손" 마케팅 캠페인을 위협하며 Emisoft 연구에 따르면 "명예훼손" 전술을 채택하는 사이버 범죄자의 범위가 확대되고 있습니다. 조사 결과 각 기업 및 커뮤니티 부문 기관에 대한 랜섬웨어 공격에 대한 보고를 받은 100,101명 중 11.6%가 "명예훼손" 스타일의 공격으로 데이터를 훔치고 게시하는 팀에 소속된 것으로 나타났습니다.
또한 지정학적 긴장을 점점 더 많이 도입하는 국가 행위자에 의한 서비스형 크라임웨어(Crimeware-as-a-Service)가 발전하고 있습니다. 국가는 다크 웹에서 장비와 전문가 서비스를 구매하고 있으며, 국가에서 개발한 도구도 블랙 산업에 진출하고 있습니다.
그렇다면 기업은 이러한 증가하는 위험을 어떻게 극복할 수 있을까요?
위험 2배, 복구 준비 2배 필요
공격자가 몸값을 갈취하여 이익을 얻으려면 간단한 세부 정보를 복구하는 것이 불가능한지 확인하는 것부터 시작해야 합니다. 따라서 백업을 비활성화하거나 망치고 유용한 세부 정보를 복구하기가 매우 어렵습니다. 그런 다음 팔을 제조 세부 사항으로 변환합니다.
집중된 손상 정보 가능성 관리 전략을 수립함으로써 기업은 표준화된 세부 정보 복원 접근 방식을 사용하는 경우보다 확률을 높이고 사이버 손상 세부 정보를 훨씬 더 쉽게 복구할 수 있습니다. 랜섬웨어에 대한 요구는 그 어느 때보다 더 크며 그룹을 준비하려면 기존 데이터 복원 계획을 재고해야 합니다.
이러한 반복되는 어려움을 해결하기 위해 기업은 손상된 정보를 복구하는 가장 중요한 5가지 방법에 대한 전략을 세워야 합니다.
- 인식 ― 조직의 VDA(Vital Info Belongings) 파악 및 정당화. 이것은 더 높은 수준의 안전이 필요한 정보입니다. 조직은 세부 사항을 가지고 있어야 합니다.
- 보안 — 사이버 공격으로부터 보호되는 비상 안전 복제본과 같이 복원할 최근에 완전히 깨끗한 세부 정보를 가질 가능성을 높이는 기능.
- 탐지 ― 조직의 VDA에 대한 획득 위험을 최대화할 수 있는 통제의 약점 취약점을 파악합니다.
- 반응 — 수익성 있는 세부 사항을 타협한 당사자의 여파로 따라야 할 계획, 절차, 전략.
- 더 나아지기 ―팀이 이러한 상황에 대비하도록 준비하는 리허설, 평가 및 루틴.
효율적인 계획 수립
모든 기업이 랜섬웨어 공격의 위험에 처해 있습니다. 빠르게 변화하는 위험 환경은 현재의 탐지 도구를 문제로 만들고 있습니다. 그것들은 더 이상 모든 공격에 맞서 싸우고 엄청난 사실 감소를 피하기 위한 성공적인 수단이 아닙니다. 외부 위협 행위자는 제쳐두고 모든 기업은 내부 위협의 가능성과도 경쟁하고 있습니다. 불만을 품은 직원이 특권을 얻어 커뮤니티 내부로 정보와 사실을 입수할 수 있습니다. 사이버 보안 교육은 최근 몇 년 동안 비약적으로 발생했지만 인적 오류는 기업, 특히 하이브리드 환경에서 작동하는 개인에게 계속해서 큰 위험으로 남아 있습니다.
결국, 더 큰 그림으로 나타나게 하는 것은 각 개별 회사에 달려 있으며, 대부분은 고유한 관점을 기반으로 정보 복구 시스템을 제자리에 설정합니다. 고전적인 랜섬웨어 공격의 중요성은 간과할 수 없지만 새로운 전술과 관련된 함정은 의심할 여지 없이 중소기업에서 훨씬 더 중요합니다. 무너진 브랜드 평판과 손상된 구매자 믿음은 일반적으로 회복할 수 없습니다. 기회 주의적 범죄자가 회사를 유지하도록 허용하기 전에 소규모 비즈니스 리더는 프로토콜에 따라 전체 조직을 신속하게 처리하고 복원 임무를 통해 모든 데이터가 우선 순위가 되어야 하는 정부 관리 기능을 신중하게 수행해야 합니다. 이 단계에서 조직은 자신의 세부 사항, 소지품 및 기반 시설이 역경을 이겨도 손상되지 않은 상태로 유지된다는 보호받는 느낌을 갖기 시작할 수 있습니다.
Chris Huggett, EMEA SVP, Sungard Availability Providers