랜섬웨어: 그것이 무엇인지 그리고 자신을 보호하는 방법

Ransomware is a type of malicious software or malware that virtually holds your data hostage, locking up your computer and threatening to keep it locked until you pay the attacker’s ransom. The International Business Machines Corporation (IBM) reports that in 2021, ransomware attacks accounted for 21% of all cyberattacks and resulted in a staggering USD 20 billion loss.

랜섬웨어란 무엇인가?

In the past, ransomware attacks were aimed solely at locking a person’s data or device until they paid money to unlock it. 

Nowadays, however, cybercriminals are taking matters to a whole new level. The 2022 X-Force Threat Intelligence Index revealed that virtually all ransomware attacks have now adopted the ‘double extortion’ strategy, which not only locks data but also expects a ransom payment to prevent theft. In addition, these malicious cybercriminals are introducing an additional threat in their repertoire – triple extortion campaigns involving Distributed Denial of Service (DDoS) assaults – and they are becoming increasingly common.

랜섬웨어와 악성 소프트웨어

랜섬웨어를 더 잘 이해하기 위해서는 먼저 악성 소프트웨어(악성 프로그램)가 무엇인지와 그 의미를 살펴봐야 합니다.

Malware – a term that prompts more questions than answers. Is the malicious software, or is it simply being used for nefarious purposes? As with many aspects of cybersecurity, there’s no single answer to this question; instead, it’s an intricate and complex area in which we must consider multiple factors. The software can be malevolent in its own right; however, the human who operates said software is ultimately responsible for determining whether and how malicious it will be.

Cyber threats are broad, from destructive viruses to crafty Trojans. But there’s a unique strain even more dangerous than these – ransomware. Uncover the mystery behind this malicious software, and learn how to protect yourself from it!

랜섬웨어는 어떻게 작동하나요?

Ransomware is designed to lock access and all content within the target computer or network until its attacker receives payment. Even more sophisticated attacks may initiate disk-level encryption with such intensity that, without paying the ransom, it would be impossible to decrypt any files. From 2013 to 2020, the FBI’s Internet Crime Complaint Center noticed a dramatic surge of 243% in reported ransomware occurrences.

다른 형태의 사이버 범죄와 달리, 랜섬웨어는 피해자가 범죄자와 협력해야 성공할 수 있습니다.

FBI는 웹사이트에서 개인이나 회사가 랜섬웨어 공격을 받았을 때 몸값을 지불하지 말라고 경고합니다. 몸값을 지불해도 조직이나 피해자가 데이터에 다시 접근할 수 있다는 보장이 없기 때문에 위험하고 신뢰할 수 없는 해결책이 됩니다. 안타깝게도 공격자가 요구한 몸값을 지불한 경우에도 정당한 복호화 키를 받지 못하는 사례가 있습니다. 설령 받더라도 모든 파일을 복구할 수 없는 경우도 있습니다. 몸값을 지불함으로써 범죄자들이 조직과 개인을 대상으로 랜섬웨어 공격을 계속 실행하도록 인센티브를 제공할 뿐만 아니라, 잠재적인 다른 사이버 범죄자들에게도 매력적으로 만듭니다.

인기 있는 랜섬웨어 변종

With numerous ransomware varieties existing, it is no wonder that some are more successful than others. In fact, there are a select few who have risen above the rest in terms of effectiveness and popularity – making them stand out from their counterparts.

1. Ryuk

Ryuk is a type of ransomware that targets a specific type of user. It is usually delivered through an email or someone’s login information to get into a system. Once the system is infected, Ryuk encrypts some files and then asks for money to give them back.

Ryuk은 평균 몸값 요구가 100만 달러를 초과하는 가장 비용이 많이 드는 랜섬웨어 변종 중 하나로 악명이 높습니다. 이로 인해 Ryuk 관련 사이버 범죄자들은 이러한 과도한 지불을 감당할 수 있는 충분한 재정 자원이 있는 기업을 정기적으로 표적으로 삼습니다.

2. REvil (Sodinokibi)

REvil(또는 Sodinokibi로 알려짐)은 주로 대규모 기업을 괴롭히는 악성 랜섬웨어 변종입니다.

Infamous REvil ransomware, operated by the Russian-speaking group since 2019, is one of the most notorious cyber threats on the internet today. For example, they have been held responsible for significant breaches such as ‘Kaseya’ and ‘JBS’, making them a serious threat to businesses across numerous industries.

지난 몇 년 동안 REvil은 가장 비용이 많이 드는 랜섬웨어 타이틀을 놓고 Ryuk과 정면 대결을 벌였습니다. 이 악성 소프트웨어가 최대 80만 달러의 몸값을 요구했다는 보고가 있습니다.

Initially, REvil was just another traditional ransomware variant, yet it has since progressed. Presently, they use the Double Extortion technique – not only encrypting files but also stealing data from businesses. This means that apart from requesting a ransom to decrypt data, attackers will threaten to publicly expose the stolen information if an additional payment is not rendered.

3. Maze

The Maze ransomware has gained notoriety for its innovative approach to extortion. It not only encrypts files but also steals sensitive data from the victim’s computer and threatens to make it public or sell it if a ransom is not paid. This menacing strategy puts targets in an even more difficult situation – either pay up or face much higher costs due to an expensive data breach.

Although the Maze ransomware group has disbanded, this does not signify that ransomware threats are now obsolete. Several former affiliates of Maze have shifted to using Egregor ransomware instead, and it is widely speculated that these three variants – Sekhmet being the third – share an identical originator.

4. DearCry

2021년 3월, Microsoft는 Exchange 서버 내의 네 가지 취약점을 해결하기 위한 중요한 업데이트를 발표했지만, 모든 사람이 잠재적인 피해로부터 자신을 보호하기 위해 수정 사항을 적용하기 전에 DearCry는 이러한 약점을 악용하도록 설계된 새로운 랜섬웨어 변종으로 개입했습니다.

DearCry 랜섬웨어는 많은 파일을 잠글 수 있으며, 사용자에게 컴퓨터에 몸값 지침을 남겨 운영자에게 연락하여 액세스 복구 방법을 배우도록 지시합니다.

5. Lapsus$

The South American ransomware gang, Lapsus$, has been linked to cyberattacks on noteworthy targets worldwide. With intimidation and the potential for sensitive data exposure, the cyber gang has established a name for itself by extorting its victims unless their demands are met. They have bragged about penetrating Nvidia, Samsung, and Ubisoft, amongst other global organizations. This group utilises pilfered source code to make malicious files appear as legitimate software.

6. Lockbit

LockBit은 데이터를 액세스할 수 없도록 하기 위해 만들어진 소프트웨어입니다. 2019년 9월부터 존재해 왔습니다. 최근에는 Ransomware-as-a-Service (RaaS)로 변모했습니다. 이는 사람들이 다른 사람들이 데이터에 접근하지 못하도록 하기 위해 비용을 지불하고 사용할 수 있음을 의미합니다.

랜섬웨어의 비용이 많이 드는 결과

People dealing with ransomware are often reticent to admit the amount of ransom they have paid. As outlined in the report Definitive Guide to Ransomware 2022, ransom demands have increased drastically; what used to comprise only single-digit payments has now expanded into seven and eight-digit figures. In the most extreme instances, companies may need to pay a hefty ransom of USD 40-80 million for their data to be returned. Yet these payments aren’t the only cost associated with ransomware attacks; other direct and indirect costs can compound an organization’s financial burden. As reported in IBM’s Cost of Data Breach 2021 study, the standard cost of ransomware attacks without including ransom payments amounted to a staggering USD 4.62 million on average.

DCH 병원 사례

DCH는 1923년부터 운영 중인 앨라배마 투스칼루사의 지역 의료 센터입니다.

On October 1st, 2019, DCH Hospitals got attacked by ransomware. Everything electronic was down. They couldn’t take any new patients and had to use all paper for everything.

DCH의 한 대표는 누군가가 손상된 이메일 첨부 파일을 열고 상호작용했을 때 시스템이 손상되었다고 밝혔습니다. 다행히도 환자 정보는 위협받지 않았습니다.

DCH 병원 시스템은 DCH 지역 의료 센터, 노스포트 의료 센터, 페이엣 의료 센터 등 세 개의 주요 병원을 자랑하며, 이 세 개의 의료 시설은 서부 앨라배마의 상당 부분을 담당하고 있습니다. 이들 세 의료 시설은 850개 이상의 병상을 제공하며 매년 32,000명 이상의 환자를 맞이합니다.

10월 5일 토요일, 시스템에 대한 접근을 신속하게 복구하기 위해 DCH 병원은 몸값을 지불하고 공격자로부터 복호화 키를 받기로 결정했습니다. 그러나 그들이 얼마나 지불했는지는 공개하지 않기로 했습니다. 의료 시스템은 중요하고 민감하기 때문에 랜섬웨어 공격의 쉬운 표적이 됩니다. 종종 이러한 조직은 데이터 손실이나 중단에 직면하는 것보다 몸값을 지불하는 것이 더 유익하다고 판단합니다. 그들의 시스템에 저장된 기밀 정보는 잃기에는 너무 가치가 있습니다. DCH 병원의 보안을 침해한 악성 랜섬웨어는 피싱 이메일을 열고 오염된 첨부 파일을 열어 악성 소프트웨어가 접근하여 컴퓨터 네트워크를 감염시킬 수 있도록 한 직원에 의해 무의식적으로 촉진되었습니다.

랜섬웨어 피해자가 되지 않기 위한 5단계

1. 직원들에게 사이버 보안 위협에 대해 교육하세요.

사이버 공격으로부터 우리 자신을 보호하고 직장에서의 발생을 식별할 수 있으려면 사이버 보안에 대한 개인의 책임을 인정해야 합니다. 모든 직원은 사이버 공간 위협을 식별하고 방지하기 위한 전문 교육을 받아야 합니다. 그러나 궁극적으로는 각 개인이 받은 정보를 바탕으로 일상생활에서 잠재적 위험을 정확하게 평가하는 것이 중요합니다. DCH 병원의 사건은 사이버 보안에 대한 개인적인 이해를 갖는 것이 얼마나 가치 있는지를 보여주는 중요한 예입니다.

The company must inform the employee of the potential risks of opening email attachments from unknown senders, particularly in a work environment. When in doubt, it’s always best to consult someone with experience before opening any messages, links or attachments. Many businesses have an in-house IT department that will take any reports concerning a phishing attempt to confirm if it is legitimate to the employee. If the message comes from a reliable source like your bank account provider or acquaintances you know personally, contact them directly and confirm that they sent the message and its contents before clicking on any links provided. This way, you can protect yourself from potential cyber-attacks.

2. 파일을 백업하세요.

If you’re ever targeted by ransomware or have some data lost in an attack and don’t want to pay the ransom, having a secure backup of your most valuable information is essential.

악성 공격의 결과를 최소화하기 위해 DCH 병원은 사건 이전에 예방 조치를 취하고 필수 파일을 백업했어야 했습니다. 백업이 있었다면 랜섬웨어로 인한 중단 없이 운영을 계속할 수 있었을 것입니다.

3. 소프트웨어를 최신 상태로 유지하세요.

사이버 범죄자들은 기존의 약점을 이용하여 장치나 시스템에 악성 소프트웨어를 도입하는 경우가 많습니다. 패치되지 않거나 제로데이 보안 결함은 디지털 안전 산업에 알려지지 않았거나 식별되었지만 아직 해결되지 않았기 때문에 위험할 수 있습니다. 특정 랜섬웨어 그룹은 사이버 범죄자로부터 제로데이 취약성에 대한 정보를 구매하여 악의적인 작업에 사용한 것으로 관찰되었습니다. 해커들이 패치된 보안 결함을 이용해 시스템에 침입하고 공격을 실행할 수 있다는 것도 알려져 있습니다. 

소프트웨어 및 운영 체제의 취약점을 겨냥한 랜섬웨어 공격으로부터 보호하기 위해 정기적으로 패치를 적용하는 것이 필수적입니다.

4. 사이버 보안 도구를 설치하고 업데이트하세요.

It’s essential to upgrade cybersecurity tools – anti-malware and antivirus software, firewalls, secure web gateways, as well as enterprise solutions such as endpoint detection and response (EDR), extended detection and response (XDR), which can help security teams detect malicious activity in real-time.

5. 접근 제어 정책을 구현하세요.

조직은 다중 인증, 제로 트러스트 아키텍처, 네트워크 분할 및 관련 보호 장치를 배포하여 취약한 데이터를 보호하고 암호화 웜이 네트워크의 다른 기기로 이동하는 것을 방지해야 합니다.

랜섬웨어는 개인도 표적으로 삼습니다.

Generally, ransomware stories focus on the aftermath of corporate or healthcare system hacks; however, it is essential to recognize that individuals are not immune from these attacks. In fact, they occur more often than you may think. Individuals must be aware of ransomware’s genuine danger when using the internet, as it could risk their safety and security.

사이버 범죄자들은 랜섬웨어를 배포할 때 두 가지 주요 방법을 사용합니다: 암호화 및 잠금 화면.

암호화 랜섬웨어

사이버 범죄자들은 주로 암호화 랜섬웨어를 통해 장치에 로컬로 저장된 특정 파일을 표적으로 삼습니다. 이러한 문서를 선택하기 위해 공격자는 피싱 트릭이나 다른 형태의 악성 소프트웨어를 사용하여 대상을 조사합니다. 파일이 암호화되면 피해자는 데이터에 접근하기 위해 필요한 복호화 키를 받기 위해 몸값을 요구받게 됩니다. 해커들은 일반적으로 기업이 보호하려고 애쓰는 기밀 또는 민감한 정보에 접근하기 위해 이 전략을 사용합니다. 이 접근 방식은 악의적인 당사자들 사이에서 인기를 얻어 기업과 조직이 일반적인 표적이 되고 있습니다.

잠금 화면 랜섬웨어

Conversely, lock screen ransomware encrypts specific files and renders a user’s device completely inoperable. Locking-screen ransomware will lock up your device and display a full-screen message that is unmovable and unminimizable. You’ll be asked to pay a ransom to unlock the system or retrieve lost data or files.

These programs often employ fear tactics to pressure you into making payments, such as a ticking clock that warns it will delete all your files if time runs out. Cyber attackers often attempt to intimidate individuals by fabricating stories about their devices being linked with illegal activities or inappropriate material and threatening to report them to the authorities if the victim doesn’t pay. To further coerce victims into paying the ransom, some ransomware developers leverage pornographic imagery and threaten that the victim cannot remove it without payment.

궁극적으로

소프트웨어 및 보안 도구를 정기적으로 업데이트하고, 접근 제어 정책을 시행하며, 이러한 악성 프로그램이 사용하는 다양한 전술을 인식하는 등 효과적인 사이버 보안 조치를 구현하여 랜섬웨어 공격으로부터 비즈니스를 보호하십시오. 또한 개인은 랜섬웨어 공격으로부터 장치를 보호하기 위해 이메일을 열거나 알 수 없는 출처의 링크를 클릭할 때 주의를 기울이는 등 적극적인 조치를 취해야 합니다. 인식과 신중한 실천을 통해 디지털 세계에서 랜섬웨어의 위협을 줄이는 데 모두가 기여할 수 있습니다.