Offcanvas

랜섬웨어

록빗은 뜨고, 콘티는 지고… 올 2분기 랜섬웨어 공격 둔화

2022년 2분기 록빗(LockBit)이 ‘뜨고’ 콘티(Conti)가 ‘지면서’ 랜섬웨어 공격 횟수가 다소 둔화됐다는 분석이 나왔다.  가드포인트 리서치(GuidePoint Research)가 지난 목요일 발표한 보고서에 따르면 2022년도 2분기 랜섬웨어 공격 횟수는 총 574건으로 집계됐다. 올 1분기 대비 34% 감소한 수치다. 기술 부문은 공공 부문과 마찬가지로 큰 표적이 됐다. 아울러 미국은 가장 많은 공격을 받은 국가로, 전 세계 랜섬웨어 피해자의 거의 4분의 1을 차지했다.    2분기 가장 활발하게 활동한 랜섬웨어 그룹은 서비스형 랜섬웨어(RaaS)를 운영하는 록빗(LockBit)으로, 이 그룹은 타깃의 시스템을 손상시키고 수익을 공유하는 협력사에게 소프트웨어를 제공한다. <CSO 온라인>은 록빗이 자체 데이터 도용 툴킷 그리고 타깃 네트워크 손상 이후 랜섬웨어를 신속하게 배포하는 기능을 포함하여 최근 몇 가지 발전된 기술을 선보였다고 밝혔다.  연구 기간 동안 록빗을 사용한 총 208건의 공격이 보고됐다. 보고서에 따르면 록빗은 버그 바운티 프로그램, 공격으로 얻은 수익의 일정 비율을 지불하는 사용료, 치명적 결과를 초래할 수 있는 주요 인프라 업체에 대한 사용 제한 등의 구조를 갖췄을 만큼 상당히 체계적이다.  2분기 블랙바스타(Blackbasta)라는 새 그룹도 등장했는데, 이 그룹은 산업 및 제조 회사를 주요 타깃으로 삼고 있다. 한편 콘티 랜섬웨어 그룹은 지난 5월 폐쇄돼 2분기 발생한 공격 횟수 감소에 기여했지만 그런데도 록빗2에 이어 2위에 올랐다.  콘티는 공격적인 접근 방식 그리고 널리 알려져 있는 랜섬웨어 그룹에선 이례적으로 몸값을 지불해도 손상된 데이터를 복구해주지 않아 악명이 높았다. 한편 콘티라는 그룹은 사실상 없어졌지만 그 배후에 있었던 사람들은 여전히 활동하고 있을 가능성이 높다.  가드포인트의 운영 책임자 드류 슈미트는 “위협 행위자...

랜섬웨어 록빗 콘티

2022.07.22

2022년 2분기 록빗(LockBit)이 ‘뜨고’ 콘티(Conti)가 ‘지면서’ 랜섬웨어 공격 횟수가 다소 둔화됐다는 분석이 나왔다.  가드포인트 리서치(GuidePoint Research)가 지난 목요일 발표한 보고서에 따르면 2022년도 2분기 랜섬웨어 공격 횟수는 총 574건으로 집계됐다. 올 1분기 대비 34% 감소한 수치다. 기술 부문은 공공 부문과 마찬가지로 큰 표적이 됐다. 아울러 미국은 가장 많은 공격을 받은 국가로, 전 세계 랜섬웨어 피해자의 거의 4분의 1을 차지했다.    2분기 가장 활발하게 활동한 랜섬웨어 그룹은 서비스형 랜섬웨어(RaaS)를 운영하는 록빗(LockBit)으로, 이 그룹은 타깃의 시스템을 손상시키고 수익을 공유하는 협력사에게 소프트웨어를 제공한다. <CSO 온라인>은 록빗이 자체 데이터 도용 툴킷 그리고 타깃 네트워크 손상 이후 랜섬웨어를 신속하게 배포하는 기능을 포함하여 최근 몇 가지 발전된 기술을 선보였다고 밝혔다.  연구 기간 동안 록빗을 사용한 총 208건의 공격이 보고됐다. 보고서에 따르면 록빗은 버그 바운티 프로그램, 공격으로 얻은 수익의 일정 비율을 지불하는 사용료, 치명적 결과를 초래할 수 있는 주요 인프라 업체에 대한 사용 제한 등의 구조를 갖췄을 만큼 상당히 체계적이다.  2분기 블랙바스타(Blackbasta)라는 새 그룹도 등장했는데, 이 그룹은 산업 및 제조 회사를 주요 타깃으로 삼고 있다. 한편 콘티 랜섬웨어 그룹은 지난 5월 폐쇄돼 2분기 발생한 공격 횟수 감소에 기여했지만 그런데도 록빗2에 이어 2위에 올랐다.  콘티는 공격적인 접근 방식 그리고 널리 알려져 있는 랜섬웨어 그룹에선 이례적으로 몸값을 지불해도 손상된 데이터를 복구해주지 않아 악명이 높았다. 한편 콘티라는 그룹은 사실상 없어졌지만 그 배후에 있었던 사람들은 여전히 활동하고 있을 가능성이 높다.  가드포인트의 운영 책임자 드류 슈미트는 “위협 행위자...

2022.07.22

“아시아 태평양 기업 72%, 지난해 랜섬웨어 공격 받았다”

사이버 보안 업체 소포스(Sophos)의 아시아 태평양 지역 수석 부사장 개빈 스트러더스가 글로벌 및 아시아 태평양 지역의 랜섬웨어 트렌드와 경계 강화의 필요성을 논의했다.  사이버 위협 환경이 갈수록 나빠지고 있다. 전 세계 31개국 IT 전문가 5,600명을 대상으로 한 설문조사 결과를 담은 소포스의 ‘2022 랜섬웨어 현황(The State of Ransomware 2022)’에 따르면 전체 응답 기업의 72%가 지난해 사이버 공격의 규모, 복잡성, 영향이 증가했다고 밝혔다.    랜섬웨어만 놓고 보면 전체 응답 기업의 66%가 피해를 입었다고 말했다. 전년도 37%에서 크게 증가한 수치다. 팬데믹에 따른 디지털화와 재택근무가 그 원인으로 추정된다. 아울러 이 걱정스러운 증가세의 또 다른 원인으로는 ‘서비스형 랜섬웨어(RaaS)의 인기’가 꼽혔다. 랜섬웨어 공격을 받았다고 답한 기업의 약 3분의 2(65%)는 공격의 마지막 단계인 데이터 암호화를 당했다고 말했다.  아시아 태평양 지역에서는 기업의 72%가 랜섬웨어 공격을 받았으며, 이 공격의 72%가 데이터 암호화로 이어졌다. 10곳의 회사 중 9곳은 랜섬웨어 공격이 비즈니스 운영에 영향을 미쳤다고 말했다. 데이터를 되찾기 위해 몸값을 지불했다고 밝힌 비율은 인도(78%)에서 가장 높았으며, 전 세계에서는 기업 2곳 중 1곳 미만이 몸값을 지불한다고 밝혔다.  지역 분석 스트러더스는 인도가 몸값을 지불했다고 답한 비율이 가장 높은 이유는 데이터 백업 시스템이 제대로 갖춰져 있지 않아 취약하기 때문이라고 진단했다. 두 번째 이유는 랜섬웨어 공격이 보편화되면서 많은 기업이 강화된 방어 수단을 갖추고 몸값 지불을 중단했기 때문이라고 그는 덧붙였다. 이로 인해 범죄자들은 기업의 데이터를 다크웹에 유출하겠다고 위협하는 등의 갈취를 하고 있다. 스트러더스에 의하면 인도 기업들은 브랜드와 고객의 개인정보를 침해할 수 있다는 두려움 때문에 더 빠르게 돈을 지불하는...

사이버 보안 랜섬웨어 아시아 태평양 소포스 사이버 위협 서비스형 랜섬웨어 데이터 암호화

2022.07.12

사이버 보안 업체 소포스(Sophos)의 아시아 태평양 지역 수석 부사장 개빈 스트러더스가 글로벌 및 아시아 태평양 지역의 랜섬웨어 트렌드와 경계 강화의 필요성을 논의했다.  사이버 위협 환경이 갈수록 나빠지고 있다. 전 세계 31개국 IT 전문가 5,600명을 대상으로 한 설문조사 결과를 담은 소포스의 ‘2022 랜섬웨어 현황(The State of Ransomware 2022)’에 따르면 전체 응답 기업의 72%가 지난해 사이버 공격의 규모, 복잡성, 영향이 증가했다고 밝혔다.    랜섬웨어만 놓고 보면 전체 응답 기업의 66%가 피해를 입었다고 말했다. 전년도 37%에서 크게 증가한 수치다. 팬데믹에 따른 디지털화와 재택근무가 그 원인으로 추정된다. 아울러 이 걱정스러운 증가세의 또 다른 원인으로는 ‘서비스형 랜섬웨어(RaaS)의 인기’가 꼽혔다. 랜섬웨어 공격을 받았다고 답한 기업의 약 3분의 2(65%)는 공격의 마지막 단계인 데이터 암호화를 당했다고 말했다.  아시아 태평양 지역에서는 기업의 72%가 랜섬웨어 공격을 받았으며, 이 공격의 72%가 데이터 암호화로 이어졌다. 10곳의 회사 중 9곳은 랜섬웨어 공격이 비즈니스 운영에 영향을 미쳤다고 말했다. 데이터를 되찾기 위해 몸값을 지불했다고 밝힌 비율은 인도(78%)에서 가장 높았으며, 전 세계에서는 기업 2곳 중 1곳 미만이 몸값을 지불한다고 밝혔다.  지역 분석 스트러더스는 인도가 몸값을 지불했다고 답한 비율이 가장 높은 이유는 데이터 백업 시스템이 제대로 갖춰져 있지 않아 취약하기 때문이라고 진단했다. 두 번째 이유는 랜섬웨어 공격이 보편화되면서 많은 기업이 강화된 방어 수단을 갖추고 몸값 지불을 중단했기 때문이라고 그는 덧붙였다. 이로 인해 범죄자들은 기업의 데이터를 다크웹에 유출하겠다고 위협하는 등의 갈취를 하고 있다. 스트러더스에 의하면 인도 기업들은 브랜드와 고객의 개인정보를 침해할 수 있다는 두려움 때문에 더 빠르게 돈을 지불하는...

2022.07.12

“의료기관 노린다” 美 정부, 마우이(Maui) 랜섬웨어 경고

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 기관들은 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 맬웨어를 사용하여 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 기관 측은 말했다.    연방기관들이 주의보를 발령한 한편, 위협 사냥, 탐지, 대응 회사 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면 “마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 마우이는 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보고 있다.” 마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 회사 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 언급했다. 그는 “시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이다”라고 말했다.  이어 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다”라면서, “이는 중요한 파일만 표적으로 삼고 복구할 수 ...

마우이 북한 랜섬웨어 맬웨어 악성코드 보안 사이버 보안 APT

2022.07.11

美 연방수사국(FBI), 사이버보안국(CISA), 재무부가 ‘마우이’라고 알려져 있는 랜섬웨어에 관한 사이버 보안 경고를 발령했다. 기관들은 북한의 국영 사이버 범죄자가 적어도 2021년 5월부터 이 맬웨어를 사용하여 의료 및 공중보건 부문 조직을 공격해 왔다고 밝혔다.  FBI는 해당 위협 행위자가 의료기관을 노리고 있다고 추정했다. 인간의 생명과 건강을 다루는 의료기관이 의료 서비스 중단 위험을 감수하기보다는 몸값을 지불할 가능성이 높기 때문이다. 이러한 이유로 국가에서 후원받는 행위자가 계속해서 의료기관을 표적으로 삼을 것이라고 기관 측은 말했다.    연방기관들이 주의보를 발령한 한편, 위협 사냥, 탐지, 대응 회사 스테어웰(Stairwell)은 블로그에 마우이 분석 보고서를 게시했다. 이 회사의 수석 리버스 엔지니어 사일러스 커틀러에 따르면 “마우이는 복구 지침을 제공하는 내장형 랜섬노트 또는 공격자에게 암호화 키를 전송하는 자동화된 수단 등 RaaS 업체의 도구에서 일반적으로 볼 수 있는 몇 가지 기능이 없다. 그 대신 마우이는 수동으로 작동하며, 운영자는 실행 시 암호화할 파일을 지정한 다음 결과 런타임 아티팩트를 추출하는 것으로 보고 있다.” 마우이 랜섬웨어는 최신 엔드포인트 보호를 우회할 수 있다 보안 컨설팅 회사 라레스 컨설팅(Lares Consulting)의 적대적 엔지니어링 부문 책임자 팀 맥거핀은 마우이 갱단에서 사용하는 접근법이 상당히 드문 방식이라고 언급했다. 그는 “시스템 전체에서 자동화된 랜섬웨어를 경고하고 제거하는 최신 엔드포인트 보호 및 카나리아 파일을 우회할 수 있는 방법이다”라고 말했다.  이어 “무작위로 흩뿌려 놓고 누군가 걸리길 바라는 ‘스프레이 앤 프레이(spray-and-pray)’ 방식의 랜섬웨어와 비교할 때 특정 파일을 표적으로 삼아 공격자가 훨씬 더 전술적인 방식으로 민감한 항목과 유출할 항목을 선택할 수 있다”라면서, “이는 중요한 파일만 표적으로 삼고 복구할 수 ...

2022.07.11

윈도우의 '제어된 폴더 액세스' 기능을 조심해서 써야 하는 이유

2010년대 중반 랜섬웨어 공격이 증가하자 마이크로소프트는 윈도우 사용자와 관리자에게 랜섬웨어 공격으로부터 PC를 보호할 툴을 제공하기 위해 고민했다. 그 결과가 2017년 10월 기능 업데이트에 추가된 '제어된 폴더 액세스(Controlled Folder Access)'라는 기능이다.  설명 문서에 따르면, 제어된 폴더 액세스는 리소스가 제한된 일반 사용자, 홈 PC 사용자, 소규모 기업을 위한 좋은 보호 툴이다. 마이크로소프트는 “제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱과 위협으로부터 귀중한 데이터를 보호하는 데 도움이 된다. 제어된 폴더 액세스는 알려진 신뢰할 수 있는 앱 목록을 기준으로 앱을 검사해 데이터를 보호한다. 윈도우 서버 2019, 윈도우 서버 2022, 윈도우 10, 윈도우 11 클라이언트에서 지원되며 윈도우 보안 앱, 마이크로소프트 엔드포인트 구성 관리자(Endpoint Configuration Manager) 또는 인튠(Intune, 관리형 디바이스에 해당)을 사용해 활성화할 수 있다”고 설명했다.  또한 마이크로소프트에 따르면, 제어된 폴더 액세스는 신뢰할 수 있는 앱만 보호되는 폴더에 액세스하도록 허용한다. 보호된 폴더는 제어된 폴더 액세스가 구성되는 시점에 지정된다. 일반적으로 문서, 사진, 다운로드용 폴더와 같이 자주 사용되는 폴더가 제어된 폴더 목록에 포함된다. 구체적으로 보호되는 폴더는 다음과 같다.   c:\Users\<username>\Documents c:\Users\Public\Documents c:\Users\<username>\Pictures c:\Users\Public\Pictures c:\Users\Public\Videos c:\Users\<username>\Videos c:\Users\<username>\Music c:\Users\Public\Music c:\Users\<username>\Favorites  ...

제어된 폴더 액세스 보안 랜섬웨어 윈도우

2022.07.11

2010년대 중반 랜섬웨어 공격이 증가하자 마이크로소프트는 윈도우 사용자와 관리자에게 랜섬웨어 공격으로부터 PC를 보호할 툴을 제공하기 위해 고민했다. 그 결과가 2017년 10월 기능 업데이트에 추가된 '제어된 폴더 액세스(Controlled Folder Access)'라는 기능이다.  설명 문서에 따르면, 제어된 폴더 액세스는 리소스가 제한된 일반 사용자, 홈 PC 사용자, 소규모 기업을 위한 좋은 보호 툴이다. 마이크로소프트는 “제어된 폴더 액세스는 랜섬웨어와 같은 악의적인 앱과 위협으로부터 귀중한 데이터를 보호하는 데 도움이 된다. 제어된 폴더 액세스는 알려진 신뢰할 수 있는 앱 목록을 기준으로 앱을 검사해 데이터를 보호한다. 윈도우 서버 2019, 윈도우 서버 2022, 윈도우 10, 윈도우 11 클라이언트에서 지원되며 윈도우 보안 앱, 마이크로소프트 엔드포인트 구성 관리자(Endpoint Configuration Manager) 또는 인튠(Intune, 관리형 디바이스에 해당)을 사용해 활성화할 수 있다”고 설명했다.  또한 마이크로소프트에 따르면, 제어된 폴더 액세스는 신뢰할 수 있는 앱만 보호되는 폴더에 액세스하도록 허용한다. 보호된 폴더는 제어된 폴더 액세스가 구성되는 시점에 지정된다. 일반적으로 문서, 사진, 다운로드용 폴더와 같이 자주 사용되는 폴더가 제어된 폴더 목록에 포함된다. 구체적으로 보호되는 폴더는 다음과 같다.   c:\Users\<username>\Documents c:\Users\Public\Documents c:\Users\<username>\Pictures c:\Users\Public\Pictures c:\Users\Public\Videos c:\Users\<username>\Videos c:\Users\<username>\Music c:\Users\Public\Music c:\Users\<username>\Favorites  ...

2022.07.11

강은성의 보안 아키텍트ㅣ랜섬웨어와 랜섬웨어 ‘산업’에 대응하려면

올해 상반기에도 랜섬웨어 피해에 관한 뉴스가 줄을 이었다. 2월 미국의 글로벌 물류업체 익스피다이터스(Expeditors)가 랜섬웨어 공격을 받아 약 3주간 서비스를 하지 못해 미화 6,000만 달러(한화 약 7,440억 원) 이상의 손실을 봤고, 3월에는 미국의 글로벌 타이어 기업 브리지스톤(Bridgestone)이 러시아 랜섬웨어 갱단 록빗(Lockbit) 2.0의 공격으로 10일 동안 생산이 중단됐다. 4월에는 러시아 랜섬웨어 갱단 콘티(Conti)가 코스타리카 재무부를 공격하여 정부가 국가 비상사태를 선포했고, 5월에는 페루 정보기관을 해킹하기도 하였다.  블록체인 데이터 분석 기업 체이널리시스(Chainalysis)는 2021년에 몸값으로 지급된 가상자산만 6억 200만 달러(약 7,250억 원)로 파악됐다고 밝혔고, 사이버 경제 분석 기업 사이버시큐리티 벤처스(Cybersecurity Ventures)는 「2019 Official Annual Cybercrime Report」에서 2021년 랜섬웨어 피해를 20억 달러(약 2조 4,000억 원)로 추정하였다. 엄청난 규모다.   국내 피해도 증가하는 추세다. 올해 2월 과학기술정보통신부에 따르면, 2021년 랜섬웨어 피해 신고 건수는 223건으로 2020년 대비 76%로 급증했고, 1월 신고 건수 역시 19건으로 2020년 11건에서 많이 증가했다. 랜섬웨어용 보안솔루션은 아직 시장에 나와 있지 않다. 지난 5월 한국침해사고대응팀협의회가 주최한 ‘랜섬웨어 대응 콘테스트’에 나온 보안기업들도 주로 기존 보안솔루션의 기능을 활용하여 랜섬웨어에 대응하는 방법을 소개하였다. 결국 각 기업이 사업과 업무, IT 인프라와 보안솔루션을 고려하여 랜섬웨어 대응 전략을 짜고 구현해야 하는 상황이다. 랜섬웨어는 악성코드의 일종이고, 지능형 표적(APT) 공격 방식으로 많이 배포되므로, 이를 예방하기 위한 방법은 악성코드 및 APT 공격에 대한 대책과 그리 다르지 않다(“APT 공격, 어떻게 ...

랜섬웨어 록빗 콘티 악성코드 지능형 표적 공격 랩서스 비즈니스 연속성 서비스형 랜섬웨어 레빌 클롭 사이버 범죄 강은성 강은성의 보안 아키텍트

2022.07.11

올해 상반기에도 랜섬웨어 피해에 관한 뉴스가 줄을 이었다. 2월 미국의 글로벌 물류업체 익스피다이터스(Expeditors)가 랜섬웨어 공격을 받아 약 3주간 서비스를 하지 못해 미화 6,000만 달러(한화 약 7,440억 원) 이상의 손실을 봤고, 3월에는 미국의 글로벌 타이어 기업 브리지스톤(Bridgestone)이 러시아 랜섬웨어 갱단 록빗(Lockbit) 2.0의 공격으로 10일 동안 생산이 중단됐다. 4월에는 러시아 랜섬웨어 갱단 콘티(Conti)가 코스타리카 재무부를 공격하여 정부가 국가 비상사태를 선포했고, 5월에는 페루 정보기관을 해킹하기도 하였다.  블록체인 데이터 분석 기업 체이널리시스(Chainalysis)는 2021년에 몸값으로 지급된 가상자산만 6억 200만 달러(약 7,250억 원)로 파악됐다고 밝혔고, 사이버 경제 분석 기업 사이버시큐리티 벤처스(Cybersecurity Ventures)는 「2019 Official Annual Cybercrime Report」에서 2021년 랜섬웨어 피해를 20억 달러(약 2조 4,000억 원)로 추정하였다. 엄청난 규모다.   국내 피해도 증가하는 추세다. 올해 2월 과학기술정보통신부에 따르면, 2021년 랜섬웨어 피해 신고 건수는 223건으로 2020년 대비 76%로 급증했고, 1월 신고 건수 역시 19건으로 2020년 11건에서 많이 증가했다. 랜섬웨어용 보안솔루션은 아직 시장에 나와 있지 않다. 지난 5월 한국침해사고대응팀협의회가 주최한 ‘랜섬웨어 대응 콘테스트’에 나온 보안기업들도 주로 기존 보안솔루션의 기능을 활용하여 랜섬웨어에 대응하는 방법을 소개하였다. 결국 각 기업이 사업과 업무, IT 인프라와 보안솔루션을 고려하여 랜섬웨어 대응 전략을 짜고 구현해야 하는 상황이다. 랜섬웨어는 악성코드의 일종이고, 지능형 표적(APT) 공격 방식으로 많이 배포되므로, 이를 예방하기 위한 방법은 악성코드 및 APT 공격에 대한 대책과 그리 다르지 않다(“APT 공격, 어떻게 ...

2022.07.11

칼럼 | 사이버 범죄라는 ‘기괴한’ 사업

현대의 몇몇 사이버 범죄 집단은 마치 일반 기업처럼 운영되는 양상을 보인다. 복잡다단한 비즈니스 문제에 직면하거나 이익을 추구하는 모습이 그렇다.   사회성이 결여된 외톨이. 이것이 해커의 이미지에 대한 고정관념이었다. 하지만 이제 이런 시대는 지나가고, 새로운 세대의 해커들이 등장했다. 바로 사이버 범죄 조직에서 일하는 해커들이다. 엔드포인트 보안 업체 브로미엄(Bromium)의 2018년 연구에 따르면 이 기괴한 사업이 기하급수적으로 성장해 연간 사이버 범죄 피해액이 1조 5,000억 달러에 달했다. 사이버 범죄 수단이 매우 고도화되고 정교화되면서 이에 따른 피해 규모가 크게 불어난 것이다. 사이버 범죄가 이토록 빠르게 발전하는 가장 명료한 이유는 돈이 되기 때문이다. 그 결과 체계적인 사이버 범죄 조직이 범람하게 됐다. 흥미로운 점은 이러한 범죄 조직조차도 일반 기업과 같은 우여곡절을 겪는다는 것이다. 사이버 범죄 업계가 전형적인 회사처럼 대외 이미지 등의 고민거리와 씨름하는 우스꽝스러운 모습을 구경할 수 있게 됐다.  범죄 조직의 사업 방식  우리가 범죄라고 여기는 행동을 사업이라고 생각하는 사이버 범죄 조직이 있다. 따라서 이 기사에서 수익을 창출하지 못하는 해킹은 (파괴 또는 개인적인 만족을 위한 해킹)은 논외로 하겠다.   영리 사이버 범죄 조직은 사업 방식은 크게 6개로 나뉜다.   1.사이버 절도.  조직과 개인으로부터 돈이나 기타 자산(사용자 데이터 및 지적 재산 등)을 탈취한다.   2.불법 데이터 거래.  탈취한 데이터(신용카드 정보 및 기타 개인 식별 가능 정보)를 거래해 수익을 남긴다.  3.웹 기반의 암시장. 마약 및 야생 동물 거래 같은 위법 활동이 특정 웹사이트에서 이뤄진다.  4.범죄 비즈니스 도구 및 서비스.  채용 공고 게시판과 같은 일반적인 비즈니스 서비스의 복사판이다.  5.크라임웨어 혹은 서비스형...

사이버 범죄 콘티 러시아 우크라이나 중국 다크웹

2022.06.28

현대의 몇몇 사이버 범죄 집단은 마치 일반 기업처럼 운영되는 양상을 보인다. 복잡다단한 비즈니스 문제에 직면하거나 이익을 추구하는 모습이 그렇다.   사회성이 결여된 외톨이. 이것이 해커의 이미지에 대한 고정관념이었다. 하지만 이제 이런 시대는 지나가고, 새로운 세대의 해커들이 등장했다. 바로 사이버 범죄 조직에서 일하는 해커들이다. 엔드포인트 보안 업체 브로미엄(Bromium)의 2018년 연구에 따르면 이 기괴한 사업이 기하급수적으로 성장해 연간 사이버 범죄 피해액이 1조 5,000억 달러에 달했다. 사이버 범죄 수단이 매우 고도화되고 정교화되면서 이에 따른 피해 규모가 크게 불어난 것이다. 사이버 범죄가 이토록 빠르게 발전하는 가장 명료한 이유는 돈이 되기 때문이다. 그 결과 체계적인 사이버 범죄 조직이 범람하게 됐다. 흥미로운 점은 이러한 범죄 조직조차도 일반 기업과 같은 우여곡절을 겪는다는 것이다. 사이버 범죄 업계가 전형적인 회사처럼 대외 이미지 등의 고민거리와 씨름하는 우스꽝스러운 모습을 구경할 수 있게 됐다.  범죄 조직의 사업 방식  우리가 범죄라고 여기는 행동을 사업이라고 생각하는 사이버 범죄 조직이 있다. 따라서 이 기사에서 수익을 창출하지 못하는 해킹은 (파괴 또는 개인적인 만족을 위한 해킹)은 논외로 하겠다.   영리 사이버 범죄 조직은 사업 방식은 크게 6개로 나뉜다.   1.사이버 절도.  조직과 개인으로부터 돈이나 기타 자산(사용자 데이터 및 지적 재산 등)을 탈취한다.   2.불법 데이터 거래.  탈취한 데이터(신용카드 정보 및 기타 개인 식별 가능 정보)를 거래해 수익을 남긴다.  3.웹 기반의 암시장. 마약 및 야생 동물 거래 같은 위법 활동이 특정 웹사이트에서 이뤄진다.  4.범죄 비즈니스 도구 및 서비스.  채용 공고 게시판과 같은 일반적인 비즈니스 서비스의 복사판이다.  5.크라임웨어 혹은 서비스형...

2022.06.28

“버전 설정 악용해 셰어포인트·원드라이브 파일 해킹할 수 있다”

개념증명(PoC) 익스플로잇이 발생하면 원드라이드 또는 셰어포인트에 저장된 오피스 365 또는 마이크로소프트 365 문서에 액세스하지 못하게 될 수 있다.  프루프포인트(Proofpoint) 연구진에 따르면 클라우드에 호스팅되는 문서가 랜섬웨어 공격자의 손이 닿지 않는 곳에 있고(랜섬웨어 공격은 전통적으로 엔드포인트 또는 네트워크 드라이브의 데이터를 타깃으로 삼았다), 아울러 클라우드 서비스의 자동 백업 기능으로 (랜섬웨어 공격자의) 암호화가 통하지 않을 수 있지만 그렇다 하더라도 기업들을 난관에 봉착하게 만드는 방법은 여전히 존재한다.  연구진은 오피스 365와 마이크로소프트 365 클라우드에서 마이크로소프트 원드라이브 및 셰어포인트 온라인 서비스의 문서 버전 설정을 악용하는 개념증명 공격 시나리오를 발견했다고 밝혔다. 이러한 서비스는 API를 통해 대부분의 기능에 액세스할 수 있기 때문에 명령줄 인터페이스와 파워셸 스크립트를 사용하여 이 잠재적인 공격을 자동화할 수도 있다고 회사 측은 덧붙였다.  문서 버전 수 줄이기 프루프포인트에 의하면 공격 체인은 해커가 1개 이상의 셰어포인트 온라인 또는 원드라이브 계정을 손상시키는 것으로 시작된다. 이는 피싱이나, 사용자 컴퓨터에 맬웨어를 감염시킨 다음 인증된 세션을 하이재킹하거나, 오쓰(OAuth)를 통해 서드파티 애플리케이션에 계정 액세스 권한을 부여하도록 사용자를 속이는 등 다양한 방법으로 이뤄질 수 있다.    이를 통해 공격자는 계정이 손상된 사용자의 모든 문서에 액세스할 수 있게 된다. 셰어포인트에서 이를 문서 라이브러리라고 하며, 기본적으로 여러 문서와 해당되는 메타데이터를 저장할 수 있는 목록이다. 원드라이브와 셰어포인트의 한 가지 문서 기능은 편집할 때마다 자동 저장 기능에서 사용되는 파일 버전 관리다. 기본적으로 문서에는 최대 500개의 버전이 있을 수 있지만 이 설정은 하나의 버전으로만 구성할 수 있다.  연구진은 “셰어포인트 온라인...

마이크로소프트 원드라이브 셰어포인트 랜섬웨어 사이버 보안 하이재킹 버전 관리 버전 설정

2022.06.17

개념증명(PoC) 익스플로잇이 발생하면 원드라이드 또는 셰어포인트에 저장된 오피스 365 또는 마이크로소프트 365 문서에 액세스하지 못하게 될 수 있다.  프루프포인트(Proofpoint) 연구진에 따르면 클라우드에 호스팅되는 문서가 랜섬웨어 공격자의 손이 닿지 않는 곳에 있고(랜섬웨어 공격은 전통적으로 엔드포인트 또는 네트워크 드라이브의 데이터를 타깃으로 삼았다), 아울러 클라우드 서비스의 자동 백업 기능으로 (랜섬웨어 공격자의) 암호화가 통하지 않을 수 있지만 그렇다 하더라도 기업들을 난관에 봉착하게 만드는 방법은 여전히 존재한다.  연구진은 오피스 365와 마이크로소프트 365 클라우드에서 마이크로소프트 원드라이브 및 셰어포인트 온라인 서비스의 문서 버전 설정을 악용하는 개념증명 공격 시나리오를 발견했다고 밝혔다. 이러한 서비스는 API를 통해 대부분의 기능에 액세스할 수 있기 때문에 명령줄 인터페이스와 파워셸 스크립트를 사용하여 이 잠재적인 공격을 자동화할 수도 있다고 회사 측은 덧붙였다.  문서 버전 수 줄이기 프루프포인트에 의하면 공격 체인은 해커가 1개 이상의 셰어포인트 온라인 또는 원드라이브 계정을 손상시키는 것으로 시작된다. 이는 피싱이나, 사용자 컴퓨터에 맬웨어를 감염시킨 다음 인증된 세션을 하이재킹하거나, 오쓰(OAuth)를 통해 서드파티 애플리케이션에 계정 액세스 권한을 부여하도록 사용자를 속이는 등 다양한 방법으로 이뤄질 수 있다.    이를 통해 공격자는 계정이 손상된 사용자의 모든 문서에 액세스할 수 있게 된다. 셰어포인트에서 이를 문서 라이브러리라고 하며, 기본적으로 여러 문서와 해당되는 메타데이터를 저장할 수 있는 목록이다. 원드라이브와 셰어포인트의 한 가지 문서 기능은 편집할 때마다 자동 저장 기능에서 사용되는 파일 버전 관리다. 기본적으로 문서에는 최대 500개의 버전이 있을 수 있지만 이 설정은 하나의 버전으로만 구성할 수 있다.  연구진은 “셰어포인트 온라인...

2022.06.17

사이버 공격에 국가가 ‘휘청’··· 코스타리카의 안타까운 교훈

코스타리카는 5년 전 개발한 사이버 전략을 제대로 도입하지 않았다. 그리고 현재 이에 대한 대가를 치르고 있다. 라틴 아메리카는 물론 전 세계 거의 모든 국가들에게 경종을 울리는 사례다.    코스타리카의 신임 대통령이 국가 비상사태를 선포했다. 하루에 약 3,800만 달러의 비용을 잡아먹는 한 위협이 지속됨에 따라서다. 예전 같으면 엄청난 자연 재해나 내부적인 갈등 때문이라고 추정했을 터다. 하지만 시대가 달라졌다. 코스타리카는 새로운 국가적 위기인 사이버 공격에 휘말렸다.  현대 인터넷이라는 새로운 정글 속에서 지구상의 모든 국가에게 사이버 공격 대응 활용이 일상화됐다. 불량 국가, 사이버 범죄 조직, 정치 운동가에서부터 그저 장난꾸러기 해커에 이르기까지 다양한 주체가 매일 매시간 다음 피해자를 찾고 있다.  국가의 정부 네트워크 역시 공격 대상에서 예외가 되지 않는다. 사실 정부 네트워크와 시스템에는 연방 및 민간 활동에 필수적인 개인 정보 등 값어치 있는 정보들이 존재한다. 이와 동시에 보안이 허술한 경우가 의외로 많다. 지난 4월 12일, 코스타리카 정부는 평소보다 높은 횟수의 사이버 공격에 직면했다. 사회 보장 서비스와 노동 서비스가 불안정해졌다. 애석하게도 시간이 지나면서 공격 빈도와 범위가 증가했다. 사실 이 안타까운 이야기는 그리 새롭지 않은 소식이다. 지난 10년간 국가에 대한 대규모 사이버 공격은 그리 이례적이기 않았기 때문이다. 정부에 대한 공격 외에도 무수히 많은 공격이 매일 기업과 개인들을 상대로 이루어졌다. 하지만 코스타리카의 경우 공격이 시작되고 30일이 지난 후 심각성이 한층 올라갔다. 신임 대통령이 위기를 이어받다 5월 8일, 국가 재정 시스템이 여전히 정상적으로 기능하지 못하는 상황에서 로드리고 차베스가 코스타리카의 대통령으로 취임했다. 5월 11일, 대통령으로서 차베스는 긴급 사태를 선포했다. 그는 이전의 코로나19 긴급 사태에 배정되었던 재정을 재할당하면서 해당 ...

코스타리카 사이버 테러 콘티 그룹 사이버 전쟁 사이버 공격

2022.06.02

코스타리카는 5년 전 개발한 사이버 전략을 제대로 도입하지 않았다. 그리고 현재 이에 대한 대가를 치르고 있다. 라틴 아메리카는 물론 전 세계 거의 모든 국가들에게 경종을 울리는 사례다.    코스타리카의 신임 대통령이 국가 비상사태를 선포했다. 하루에 약 3,800만 달러의 비용을 잡아먹는 한 위협이 지속됨에 따라서다. 예전 같으면 엄청난 자연 재해나 내부적인 갈등 때문이라고 추정했을 터다. 하지만 시대가 달라졌다. 코스타리카는 새로운 국가적 위기인 사이버 공격에 휘말렸다.  현대 인터넷이라는 새로운 정글 속에서 지구상의 모든 국가에게 사이버 공격 대응 활용이 일상화됐다. 불량 국가, 사이버 범죄 조직, 정치 운동가에서부터 그저 장난꾸러기 해커에 이르기까지 다양한 주체가 매일 매시간 다음 피해자를 찾고 있다.  국가의 정부 네트워크 역시 공격 대상에서 예외가 되지 않는다. 사실 정부 네트워크와 시스템에는 연방 및 민간 활동에 필수적인 개인 정보 등 값어치 있는 정보들이 존재한다. 이와 동시에 보안이 허술한 경우가 의외로 많다. 지난 4월 12일, 코스타리카 정부는 평소보다 높은 횟수의 사이버 공격에 직면했다. 사회 보장 서비스와 노동 서비스가 불안정해졌다. 애석하게도 시간이 지나면서 공격 빈도와 범위가 증가했다. 사실 이 안타까운 이야기는 그리 새롭지 않은 소식이다. 지난 10년간 국가에 대한 대규모 사이버 공격은 그리 이례적이기 않았기 때문이다. 정부에 대한 공격 외에도 무수히 많은 공격이 매일 기업과 개인들을 상대로 이루어졌다. 하지만 코스타리카의 경우 공격이 시작되고 30일이 지난 후 심각성이 한층 올라갔다. 신임 대통령이 위기를 이어받다 5월 8일, 국가 재정 시스템이 여전히 정상적으로 기능하지 못하는 상황에서 로드리고 차베스가 코스타리카의 대통령으로 취임했다. 5월 11일, 대통령으로서 차베스는 긴급 사태를 선포했다. 그는 이전의 코로나19 긴급 사태에 배정되었던 재정을 재할당하면서 해당 ...

2022.06.02

일문일답 | ‘콘티 그룹의 해킹 매뉴얼 분석해보니...’ 아카마이 딘 우아리 디렉터

세계에서 가장 성공적인 랜섬웨어 갱단으로 알려진 존재가 콘티(Conti) 그룹이다. 1년에 약 2억 달러의 매출을 기록하는 범죄 단체로 알려져 있다. 최근 아카마이 연구진은 콘티 그룹에서 유출된 내부 문서를 검토 및 분석해 랜섬웨어 그룹이 사용하는 최신 도구와 기법에 대한 인사이트를 도출했다고 밝혔다. 아카마이의 APJ 보안 기술 및 전략 디렉터 딘 우아리와 일문일답을 진행했다. Q. 콘티 그룹에 대한 설명을 간략하게 부탁한다. 콘티 그룹의 내부 문서 유출이 과거의 다른 그룹의 유출과 다른 점이 있다면 무엇인가? 콘티(Conti) 그룹은 고매출 기업들을 대상으로 하는 악명 높은 랜섬웨어 그룹으로, 2020년에 처음 세상에 알려졌다. 블록체인 분석업체인 체이널리시스(Chainalysis)의 보고서에 따르면 해당 랜섬웨어 그룹은 지난해 최소 1억 8,000만 달러(한화 약 2,278억)의 매출을 올린 것으로 추정된다. 2021년 전체 랜섬웨어 그룹의 매출 중 최대 액수다. 2022년 2월 27일, 트위터 핸들 @contileaks가 생성된 이후 콘티 그룹의 내부 문서 및 채팅 로그, 일부 내부 서버 및 소스 코드의 주소가 유출되기 시작했다. 이번 유출이 특히 흥미로운 이유는 유출된 정보의 양이 방대하다는 점이다. 특히 공격 그룹이 어떻게 대규모로 운영되고 있는지, 무엇을 사용하는지, 어떻게 사고하는지 등에 대한 정보가 노출되는 사례는 매우 드문데, 이번에 유출된 문서들을 통해 이를 알 수 있다는 것이 특이점이라고 할 수 있다. 아카마이는 콘티 그룹의 내부 문서 중 표적 선택, 해킹, 툴 사용에 대한 지침을 포함하는 문서를 분석하는데 집중했다. 아카마이는 이러한 TTP(Tactic·Technique·Procedure, 전술·기술·절차)와 방법론이 최신 랜섬웨어 그룹이 사용하는 도구와 기술을 이해하고 그에 따른 방어 체계를 강화하는 데 도움이 될 것이라고 생각했다. 또한, 세계에서 가장 신뢰받는 최대 규모의 엣지 플랫폼을 갖춘 한편 글로벌 대표 기업들과 수십억 ...

아카마이 콘티 그룹 해킹 매뉴얼

2022.05.12

세계에서 가장 성공적인 랜섬웨어 갱단으로 알려진 존재가 콘티(Conti) 그룹이다. 1년에 약 2억 달러의 매출을 기록하는 범죄 단체로 알려져 있다. 최근 아카마이 연구진은 콘티 그룹에서 유출된 내부 문서를 검토 및 분석해 랜섬웨어 그룹이 사용하는 최신 도구와 기법에 대한 인사이트를 도출했다고 밝혔다. 아카마이의 APJ 보안 기술 및 전략 디렉터 딘 우아리와 일문일답을 진행했다. Q. 콘티 그룹에 대한 설명을 간략하게 부탁한다. 콘티 그룹의 내부 문서 유출이 과거의 다른 그룹의 유출과 다른 점이 있다면 무엇인가? 콘티(Conti) 그룹은 고매출 기업들을 대상으로 하는 악명 높은 랜섬웨어 그룹으로, 2020년에 처음 세상에 알려졌다. 블록체인 분석업체인 체이널리시스(Chainalysis)의 보고서에 따르면 해당 랜섬웨어 그룹은 지난해 최소 1억 8,000만 달러(한화 약 2,278억)의 매출을 올린 것으로 추정된다. 2021년 전체 랜섬웨어 그룹의 매출 중 최대 액수다. 2022년 2월 27일, 트위터 핸들 @contileaks가 생성된 이후 콘티 그룹의 내부 문서 및 채팅 로그, 일부 내부 서버 및 소스 코드의 주소가 유출되기 시작했다. 이번 유출이 특히 흥미로운 이유는 유출된 정보의 양이 방대하다는 점이다. 특히 공격 그룹이 어떻게 대규모로 운영되고 있는지, 무엇을 사용하는지, 어떻게 사고하는지 등에 대한 정보가 노출되는 사례는 매우 드문데, 이번에 유출된 문서들을 통해 이를 알 수 있다는 것이 특이점이라고 할 수 있다. 아카마이는 콘티 그룹의 내부 문서 중 표적 선택, 해킹, 툴 사용에 대한 지침을 포함하는 문서를 분석하는데 집중했다. 아카마이는 이러한 TTP(Tactic·Technique·Procedure, 전술·기술·절차)와 방법론이 최신 랜섬웨어 그룹이 사용하는 도구와 기술을 이해하고 그에 따른 방어 체계를 강화하는 데 도움이 될 것이라고 생각했다. 또한, 세계에서 가장 신뢰받는 최대 규모의 엣지 플랫폼을 갖춘 한편 글로벌 대표 기업들과 수십억 ...

2022.05.12

"훔칠 게 없어 괜찮다"··· 'MFA' 안 쓰는 핑계도 가지가지, 대응책은?

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

다중인증 이중인증 MFA 2FA 소셜 엔지니어링 비밀번호 무차별 대입 공격 피싱 크리덴셜 스터핑 개인정보 프라이버시 랜섬웨어

2022.05.04

CISO는 사용자와 경영진은 물론 심지어는 IT 부서까지 ‘다중인증(MFA)’에 저항하는 문제에 직면할 수 있다. 여기서는 사용자의 불평불만에 대처하는 방법을 살펴본다.  IT가 ‘다중인증(MFA)’ 또는 ‘이중인증(2FA)’ 도입에 박차를 가하고 있다. 보안을 강화하는 것으로 입증됐기 때문이다. 하지만 MFA 로그인에 따르는 추가적인 단계를 번거로워하는 관리자와 직원 등이 이를 쓰지 않기 위해 가지각색의 이유로 핑계를 대는 일이 허다하다. MFA를 사용하지 않으려는 흔한 핑계와 이에 효과적인 대응법을 소개한다.    1. “내 비밀번호는 충분히 강력하다” 강력한 비밀번호는 매우 중요하다. 보안을 위한 첫 관문을 지켰다는 점에서도 칭찬할 만하다. 하지만 이것만으론 부족하다. 사이버 공격이 정교해지고 있기 때문이다. CISO는 이러한 사실을 사용자와 관리자에게 강조해야 한다. 예를 들면 강력한 비밀번호만으론 충분하지 않았던 보안 침해 사례를 소개해야 한다. 트윌리오(Twilio)의 부사장 겸 계정 보안 부문 책임자 애런 골드스미드는 “2FA/MFA의 장점은 무차별 대입 공격, 그럴듯한 피싱 사기, 계정 탈취 공격 등을 통한 데이터 도난 우려를 덜 수 있다는 것이다. 설령 비밀번호가 유출되더라도 2FA/MFA를 사용하고 있다면 도난당한 비밀번호와 관련된 흔한 수법(예: 크리덴셜 스터핑 등)으로 개인 계정이 털리는 일은 없으리라 안심할 수 있다”라고 말했다. 2. “MFA 로그인을 위해 개인 스마트폰 번호를 제공하고 싶지 않다” MFA 로그인을 위해 전화번호는 물론 이메일 주소도 제공할 필요가 없다. 이러한 정보 없이 MFA 로그인을 할 수 있는 방법은 많다. 이를테면 인증 앱은 기존의 SMS 또는 이메일 방식보다 편리하다. 처음 설정 시 QR코드를 스캔하거나 코드를 직접 입력해야 하긴 하지만 이후 로그인은 푸시 알림(사용자의 로그인 시도를 확인하는 버튼을 클릭하라는 메시지가 나타난다)만으로 가능하도록 구성할 수 있다. ...

2022.05.04

옥타·MS·삼성 턴 겁없는 10대... ‘랩서스’를 심각하게 봐야 할 이유

지난 3월 옥타(Okta) 데이터 침해 사건 이후, (용의자가 체포되자 휴가를 간다며 당분간 활동을 중단하겠다고 밝혔던) ‘랩서스(LAPSUS$)’ 해킹그룹이 얼마되지 않아 룩셈부르크의 소프트웨어 회사 글로반트(Globant)를 공격해 데이터를 유출했다고 발표하면서 ‘휴가’에서 복귀했다.   보도에 따르면 영국의 10대로 구성된 이 해킹그룹은 (지난 3월 30일) 텔레그램 채널에 글로반트를 해킹했다고 발표했다. 대기업에서 데이터를 훔치고, 원하는 몸값을 주지 않으면 (이를) 공개하겠다고 위협하는 것으로 알려진 랩서스는 글로반트의 데브옵스 인프라에서 데이터와 자격증명 등으로 구성된 70GB 용량의 자료를 탈취했다고 밝혔다. 랩서스가 해킹했다고 주장한 데이터에는 컨플루언스 및 지라를 포함한 이 회사의 아틀라시안 제품군에서 발견된 관리자 암호와 크루시블(Crucible) 코드 검토 도구 등이 포함돼 있다.  낮은 수준의 기법 그리고 2가지 유형의 EDR 랩서스는 2021년 12월 처음 등장했으며, 삼성(Samsung), 임프레사(Impresa), 엔비디아(NVIDIA), 보다폰(Vodafone), 유비소프트(Ubisoft) 등 여러 대기업을 해킹해 유명세를 떨쳤다. 가장 최근에는 애플과 메타(페이스북 모회사)도 랩서스에게 당했다는 사실이 드러났다(애플과 메타는 사법당국을 사칭한 해커에게 속아 고객 정보를 넘겼고, 랩서스가 이 공격의 배후로 점쳐졌다).  보안 연구원 브라이언 크렙스는 블로그에서 랩서스가 “낮은 수준의 기법이지만 영향력이 큰 방법(low-tech but high-impact methods)”을 사용하여 타깃에 액세스하는 방법을 간략하게 설명했다. 그에 따르면 여기에는 ‘EDR(긴급 데이터 요청)’ 남용이 포함된다. 범죄자들은 사법당국의 자격증명을 확보한 다음 통신업체, 인터넷 서비스 업체, 소셜 미디어 사이트 등에 사용자 데이터를 무단 요청한다. 요청된 정보가 법원의 명령을 기다릴 수 없는 긴급한 사안과 관련돼 있다고...

랩서스 해킹그룹 랜섬웨어 그룹 사회공학 기법 EDR

2022.04.11

지난 3월 옥타(Okta) 데이터 침해 사건 이후, (용의자가 체포되자 휴가를 간다며 당분간 활동을 중단하겠다고 밝혔던) ‘랩서스(LAPSUS$)’ 해킹그룹이 얼마되지 않아 룩셈부르크의 소프트웨어 회사 글로반트(Globant)를 공격해 데이터를 유출했다고 발표하면서 ‘휴가’에서 복귀했다.   보도에 따르면 영국의 10대로 구성된 이 해킹그룹은 (지난 3월 30일) 텔레그램 채널에 글로반트를 해킹했다고 발표했다. 대기업에서 데이터를 훔치고, 원하는 몸값을 주지 않으면 (이를) 공개하겠다고 위협하는 것으로 알려진 랩서스는 글로반트의 데브옵스 인프라에서 데이터와 자격증명 등으로 구성된 70GB 용량의 자료를 탈취했다고 밝혔다. 랩서스가 해킹했다고 주장한 데이터에는 컨플루언스 및 지라를 포함한 이 회사의 아틀라시안 제품군에서 발견된 관리자 암호와 크루시블(Crucible) 코드 검토 도구 등이 포함돼 있다.  낮은 수준의 기법 그리고 2가지 유형의 EDR 랩서스는 2021년 12월 처음 등장했으며, 삼성(Samsung), 임프레사(Impresa), 엔비디아(NVIDIA), 보다폰(Vodafone), 유비소프트(Ubisoft) 등 여러 대기업을 해킹해 유명세를 떨쳤다. 가장 최근에는 애플과 메타(페이스북 모회사)도 랩서스에게 당했다는 사실이 드러났다(애플과 메타는 사법당국을 사칭한 해커에게 속아 고객 정보를 넘겼고, 랩서스가 이 공격의 배후로 점쳐졌다).  보안 연구원 브라이언 크렙스는 블로그에서 랩서스가 “낮은 수준의 기법이지만 영향력이 큰 방법(low-tech but high-impact methods)”을 사용하여 타깃에 액세스하는 방법을 간략하게 설명했다. 그에 따르면 여기에는 ‘EDR(긴급 데이터 요청)’ 남용이 포함된다. 범죄자들은 사법당국의 자격증명을 확보한 다음 통신업체, 인터넷 서비스 업체, 소셜 미디어 사이트 등에 사용자 데이터를 무단 요청한다. 요청된 정보가 법원의 명령을 기다릴 수 없는 긴급한 사안과 관련돼 있다고...

2022.04.11

칼럼 | 우크라이나, 콘티 랜섬웨어, 그리고 ‘의도하지 않은 결과의 법칙’

러시아의 우크라이나 침공은 ‘의도하지 않은 결과의 법칙’을 가장 예상치 못한 방식으로 보여줬다. 현재 전 세계적으로 가장 왕성하게 활동하는 랜섬웨어 공격 집단이 우크라이나 침공을 공개적으로 지지했다가 역풍을 맞아 운영 능력에 일시적으로 타격을 입었고, 그 과정에서 랜섬웨어 공격 집단의 내밀한 정보가 대량으로 노출되는 전례 없는 결과를 낳았다.    콘티 랜섬웨어란? 암호화 기술이 발전하면서 새로운 애플리케이션과 비즈니스 모델이 등장했다. 달갑지 않지만 랜섬웨어가 대표적이다. 클라우드 컴퓨팅과 결합한 치명적인 변종인 RaaS(Ransomware-as-a-Service)도 나타났다. RaaS 기법을 사용하는 공격자 가운데 2021년 가장 큰 성공을 거둔 집단이 바로 러시아 기반의 콘티(Conti)다. 랜섬웨어의 기본적인 전제는 컴퓨터 시스템의 데이터를 암호화해서 해독 키를 가진 사람만 데이터를 해독할 수 있는 상태로 만드는 것이다(콘티의 경우 AES-256 변형). 그런 다음 이 해독 키를 피해자에게 판매하는 수법을 사용한다. 훔친 데이터를 공개하겠다고 위협하는 이중 갈취(dual-extortion)와 결합되는 경우도 많다. 콘티는 이런 기본 ‘비즈니스 모델’을 정교하게 다듬어 2021년에만 2억 달러에 가까운 금액을 갈취했다.   기본적인 랜섬웨어 개념에서 다양한 변형이 파생됐다. 가장 두드러진 공격 세력은 조직화된 범죄 집단이다. 이런 범죄 조직의 상당수는 러시아 정보국의 암묵적인(또는 명시적인) 승인 하에 러시아에 본거지를 두고 활동하는 것으로 알려졌다. 이들은 러시아 내의 기업은 공격하지 않는 경우가 많다. 2021년 콜로니얼 파이프라인에 대한 공격은 콘티의 소행은 아니었지만, 랜섬웨어 문제에 대한 많은 관심과 정부의 전면적인 규제 대응을 촉발했다. 이 공격으로 미국 석유 인프라의 상당 부분이 랜섬웨어에 장악됐으며 콜로니얼 파이프라인은 범죄 조직이 요구한 75BTC를 지불했다. (이후 미국 연방수사국이 몸값의 상당 부분을...

2022.04.06

러시아의 우크라이나 침공은 ‘의도하지 않은 결과의 법칙’을 가장 예상치 못한 방식으로 보여줬다. 현재 전 세계적으로 가장 왕성하게 활동하는 랜섬웨어 공격 집단이 우크라이나 침공을 공개적으로 지지했다가 역풍을 맞아 운영 능력에 일시적으로 타격을 입었고, 그 과정에서 랜섬웨어 공격 집단의 내밀한 정보가 대량으로 노출되는 전례 없는 결과를 낳았다.    콘티 랜섬웨어란? 암호화 기술이 발전하면서 새로운 애플리케이션과 비즈니스 모델이 등장했다. 달갑지 않지만 랜섬웨어가 대표적이다. 클라우드 컴퓨팅과 결합한 치명적인 변종인 RaaS(Ransomware-as-a-Service)도 나타났다. RaaS 기법을 사용하는 공격자 가운데 2021년 가장 큰 성공을 거둔 집단이 바로 러시아 기반의 콘티(Conti)다. 랜섬웨어의 기본적인 전제는 컴퓨터 시스템의 데이터를 암호화해서 해독 키를 가진 사람만 데이터를 해독할 수 있는 상태로 만드는 것이다(콘티의 경우 AES-256 변형). 그런 다음 이 해독 키를 피해자에게 판매하는 수법을 사용한다. 훔친 데이터를 공개하겠다고 위협하는 이중 갈취(dual-extortion)와 결합되는 경우도 많다. 콘티는 이런 기본 ‘비즈니스 모델’을 정교하게 다듬어 2021년에만 2억 달러에 가까운 금액을 갈취했다.   기본적인 랜섬웨어 개념에서 다양한 변형이 파생됐다. 가장 두드러진 공격 세력은 조직화된 범죄 집단이다. 이런 범죄 조직의 상당수는 러시아 정보국의 암묵적인(또는 명시적인) 승인 하에 러시아에 본거지를 두고 활동하는 것으로 알려졌다. 이들은 러시아 내의 기업은 공격하지 않는 경우가 많다. 2021년 콜로니얼 파이프라인에 대한 공격은 콘티의 소행은 아니었지만, 랜섬웨어 문제에 대한 많은 관심과 정부의 전면적인 규제 대응을 촉발했다. 이 공격으로 미국 석유 인프라의 상당 부분이 랜섬웨어에 장악됐으며 콜로니얼 파이프라인은 범죄 조직이 요구한 75BTC를 지불했다. (이후 미국 연방수사국이 몸값의 상당 부분을...

2022.04.06

알고도 속는 5가지, 몰라서 속는 4가지 '소셜 엔지니어링' 속임수

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

사회공학 해킹 소셜 엔지니어링 사이버 공격 랜섬웨어 악성코드 악성 소프트웨어 이메일 피싱 피싱 공격 전화 피싱

2022.03.30

교육을 하고 경고를 해도 사람들은 사회공학 기법에 여전히 속는다. 설상가상으로 사이버 범죄자들은 새로운 공격을 시도하고 있다.  사회공학 기법에 당하는 이유를 팬데믹 피로, 원격근무 또는 너무 많은 정보 탓으로 돌릴 순 있지만 이를 식별하는 것 자체를 방심하는 직원들이 많은 것 같다. 프루프포인트(Proofpoint)에 따르면 사이버 범죄자들은 지난해 재작년보다 더 많이 사회공학 해킹에 성공했다. 보안 전문가 3,500명을 대상으로 한 설문조사에 의하면 2021년 기업의 무려 80% 이상이 이메일 피싱 공격을 경험했다. 2020년보다 46%나 급증한 수치다.  보안업체 프린시플 로직(Principle Logic)의 수석 컨설턴트 케빈 비버는 “오늘날 수많은 혼란과 소음으로 오토파일럿 상태인, 즉 (사회공학 기법을 주의하는) 시늉만 하는 사람이 많다. 이로 인해 공격자는 자신이 우위에 있다는 사실을 알고 있다”라고 지적했다.    스탠퍼드 대학 연구진에 따르면 데이터 유출의 약 88%가 직원의 실수로 발생한다. 피싱에 속는 이유로는 주의 산만(45%)이 가장 많이 꼽혔다. 아울러 원격근무자의 57%는 재택근무를 할 때 주의가 더 산만하다고 답했다. 피싱 이메일을 클릭하는 가장 큰 이유는 합법적인 이메일이나 고위 경영진 또는 유명 브랜드에서 보낸 이메일이라고 인식하기 때문이다.  인간의 실수로 인한 침해의 결과는 그 어느 때보다 크다. 프루트포인트는 2021년 랜섬웨어에 직접 연결된 맬웨어 페이로드를 포함한 약 1,500만 건의 피싱 메시지를 확인했다고 밝혔다. 소포스(Sophos)에 의하면 2021년 랜섬웨어 공격에 따른 평균 총 복구 비용은 미화 185만 달러에 달했다. 직원들은 왜 (과거와) 똑같은 오래된 수법에도 여전히 속아 넘어가는 걸까? 노우비4(KnowBe4)의 CEO 스투 스주워만은 지난 2016년 사람들이 사회공학 기법에 넘어가게 만드는 7가지 치명적인 약점(호기심, 예의, 잘 속음, 탐욕, ...

2022.03.30

“몸값 시한 지나면 자동 삭제”··· 랜섬웨어 ‘로키로커’가 당신을 노린다

‘로키로커(LokiLocker)’라고 불리는 신종 랜섬웨어가 작년 8월부터 사이버 범죄자 사이에서 서서히 인기를 끌고 있다는 연구 결과가 나왔다. 이 악성 프로그램은 흔치 않은 코드 난독화 기술을 사용하며, 공격 대상을 타깃으로 쓸 수 있는 파일 삭제 구성요소를 포함한다.    블랙베리(BlackBerry)의 리서치 앤 인텔리전스 팀(Research & Intelligence Team)이 3월 16일 발표한 보고서에 따르면 로키로커는 영어를 사용하는 피해자와 윈도우 PC를 타깃으로 하는 비교적 새로운 랜섬웨어 제품군이다. 이 위협은 지난 2021년 8월 중순 처음 발견됐다. 보고서는 “2016년에 악명 높았던 ‘로키(Locky)’라는 오래된 랜섬웨어 제품군이나 인포스틸러인 로키봇(LokiBot)과 혼동해서는 안 된다. 록빗(LockBit) 랜섬웨어와 몇 가지 유사점(레지스트리 값, 랜섬 노트 파일 이름)을 공유하지만 직계는 아닌 것으로 보인다”라고 밝혔다.  지금까지 로키로커의 서비스형 랜섬웨어(RaaS) 오퍼링은 소수의 협력자(몸값을 챙기기 위해 랜섬웨어를 배포하는 사이버 범죄자 또는 사이버 범죄 그룹)와만 공유된 것으로 조사됐다. 블랙베리 연구진은 현재 로키로커를 공유한 협력자는 약 30명 수준이라고 추정했다.  ‘로키로커’의 기술 로키로커는 닷넷 프로그래밍 언어로 작성됐지만 코드는 코이VM(KoiVM)과 결합된 컨퓨저EX(ConfuserEx)의 수정된 버전으로 난독화됐다. 닷넷 애플리케이션용 오픈소스 코드 보호기인 코이VM과 컨퓨저EX는 리버스 엔지니어링을 어렵게 만들어 상용 애플리케이션의 독점 소스코드를 보호한다. 하지만 때때로 악성 소프트웨어 개발자는 보안 프로그램 및 연구진의 탐지를 피하기 위해 이러한 프로그램을 사용한다.  “로키로커는 코이VM을 닷넷 애플리케이션의 가상화된 보호기로 사용한다. 이는 분석을 복잡하게 만드는 흔치 않은 방법이다. 아직 다른 위협 행위자가 이런 방식을 활용하는...

랜섬웨어 악성 소프트웨어 악성코드 로키로커 블랙베리 서비스형 랜섬웨어 닷넷 사이버 범죄 맬웨어

2022.03.17

‘로키로커(LokiLocker)’라고 불리는 신종 랜섬웨어가 작년 8월부터 사이버 범죄자 사이에서 서서히 인기를 끌고 있다는 연구 결과가 나왔다. 이 악성 프로그램은 흔치 않은 코드 난독화 기술을 사용하며, 공격 대상을 타깃으로 쓸 수 있는 파일 삭제 구성요소를 포함한다.    블랙베리(BlackBerry)의 리서치 앤 인텔리전스 팀(Research & Intelligence Team)이 3월 16일 발표한 보고서에 따르면 로키로커는 영어를 사용하는 피해자와 윈도우 PC를 타깃으로 하는 비교적 새로운 랜섬웨어 제품군이다. 이 위협은 지난 2021년 8월 중순 처음 발견됐다. 보고서는 “2016년에 악명 높았던 ‘로키(Locky)’라는 오래된 랜섬웨어 제품군이나 인포스틸러인 로키봇(LokiBot)과 혼동해서는 안 된다. 록빗(LockBit) 랜섬웨어와 몇 가지 유사점(레지스트리 값, 랜섬 노트 파일 이름)을 공유하지만 직계는 아닌 것으로 보인다”라고 밝혔다.  지금까지 로키로커의 서비스형 랜섬웨어(RaaS) 오퍼링은 소수의 협력자(몸값을 챙기기 위해 랜섬웨어를 배포하는 사이버 범죄자 또는 사이버 범죄 그룹)와만 공유된 것으로 조사됐다. 블랙베리 연구진은 현재 로키로커를 공유한 협력자는 약 30명 수준이라고 추정했다.  ‘로키로커’의 기술 로키로커는 닷넷 프로그래밍 언어로 작성됐지만 코드는 코이VM(KoiVM)과 결합된 컨퓨저EX(ConfuserEx)의 수정된 버전으로 난독화됐다. 닷넷 애플리케이션용 오픈소스 코드 보호기인 코이VM과 컨퓨저EX는 리버스 엔지니어링을 어렵게 만들어 상용 애플리케이션의 독점 소스코드를 보호한다. 하지만 때때로 악성 소프트웨어 개발자는 보안 프로그램 및 연구진의 탐지를 피하기 위해 이러한 프로그램을 사용한다.  “로키로커는 코이VM을 닷넷 애플리케이션의 가상화된 보호기로 사용한다. 이는 분석을 복잡하게 만드는 흔치 않은 방법이다. 아직 다른 위협 행위자가 이런 방식을 활용하는...

2022.03.17

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.9