35년 전, 잘못된 AIDS 활동가가 컴퓨터의 파일 이름을 암호화하는 맬웨어를 개발했고, 감염된 시스템의 잠금을 해제하는 키를 얻기 위해 189달러를 요구했습니다. 이 “AIDS 트로이 목마”는 다음과 같은 모호한 구별을 가지고 있습니다. 세계 최초의 랜섬웨어. 그 사이 수십 년 동안 랜섬웨어의 암호화는 더욱 정교해지고 해독하기 어려워졌으며, 그 밑의 범죄 기업은 끔찍한 잡초처럼 번성했습니다. 가장 어두운 온라인 불법 사업 중 하나인 랜섬웨어는 이제 10억 달러를 돌파했습니다. 작년에 지불된 몸값. 마찬가지로 불행하게도 오늘날 위협도 증가하고 있습니다. 그리고 같은 방식으로 “서비스로서의” 비즈니스 모델 랜섬웨어 분야는 SaaS(Software-as-a-Service)로 성장했으며, 이제는 RaaS(Ransomware-as-a-Service) 산업으로 발전했습니다.
Guillermo Christensen은 워싱턴 DC에 거주합니다. K&L Gates 로펌의 변호사. 그는 또한 FBI에 파견되어 정보 프로그램을 구축하는 데 도움을 준 전 CIA 요원이기도 합니다. 그는 FBI의 강사입니다. CISO 아카데미—그리고 창립 멤버 미국 사이버군 협회 그리고 국가 인공지능 및 사이버 보안 정보 공유 기구. IEEE 스펙트럼 랜섬웨어 공격의 새로운 유형인 랜섬웨어 서비스형 랜섬웨어의 증가와 이를 이해하고 퇴치하는 방법에 대해 크리스텐슨과 이야기를 나누었습니다.
기예르모 크리스텐슨의…:
- 최근 몇 년 동안 랜섬웨어는 어떻게 발전했습니까?
- 사람들과 기업들은 랜섬웨어 공격에 어떻게 대응하고 있나요?
- 랜섬웨어 즉 서비스란 무엇인가요?
- 최근 랜섬웨어 공격의 예
- 랜섬웨어 그룹은 어떻게 감지를 피하고 보안 조치를 우회하는가?
- 현재 가장 효과적인 랜섬웨어 방지 도구와 기술은 무엇입니까?
기예르모 크리스텐센K&L 게이츠
최근 몇 년 동안 랜섬웨어 상황은 어떻게 바뀌었나요? 변곡점이 있었나요?
크리스텐슨: 나는 말할 것이다, [starting in] 2022년의 특징은 다음과 같습니다. 러시아의 동부 우크라이나 침공저는 그것이 현재 상황에서 일종의 분기점이라고 봅니다.
[Ransomware threat actors] 기업의 핵심 인프라에 대한 접근 방식을 전환했습니다. 특히, 지금은 대규모 암호화에 놀라운 성공을 거둔 그룹이 있습니다. 하이퍼바이저기본적으로 가짜 컴퓨터, 즉 규모가 엄청날 수 있는 서버에서 실행되는 가상 머신을 만드는 시스템입니다. 따라서 이러한 리소스를 공격할 수 있기 때문에 위협 행위자는 막대한 피해를 입힐 수 있으며, 때로는 한 번의 공격으로 회사 전체의 인프라를 무너뜨릴 수도 있습니다. 그리고 이 중 일부는 이러한 종류의 인프라가 취약성과 같은 것에 대한 패치를 업데이트하기 어렵기 때문에 발생합니다.
2022년 이전에는 이러한 그룹 중 다수가 특정 유형의 타겟을 공격하고 싶어하지 않았습니다. 예를 들어, 콜로니얼 파이프라인 회사 [was attacked]그 공격이 많은 주목을 받았기 때문에 그 후에 그것이 실수였을지도 모른다는 수다가 많았습니다. FBI는 많은 자원을 투입하여 추적했습니다. [the perpetrators]. 그리고 많은 랜섬웨어 그룹들 사이에서는 “이런 짓 하지 마. 우리는 여기서 훌륭한 사업을 하고 있어. 미국 정부가 이 문제에 대해 뭔가를 할 가능성을 훨씬 더 높여서 망치지 마.”라는 감정이 있었습니다.
위협 행위자들이 이런 종류의 말을 한다는 것을 어떻게 알았나요?
크리스텐슨: 저희는 많은 위협 정보 전문가와 협력하기 때문입니다. 그리고 위협 정보 전문가는 많은 일을 합니다. 하지만 그들이 하는 일 중 하나는 이러한 그룹과 동일한 범죄 포럼에 참여하여 그들이 무엇을 하고 있는지, 무엇을 개발하고 있는지 등에 대한 정보를 얻으려고 하는 것입니다. 그것은 약간 간첩 활동과 비슷합니다. 그리고 정보를 삽입하는 가짜 페르소나를 만들고 신뢰성을 개발하는 것을 포함합니다. 또 다른 것은 러시아 범죄 그룹이 매우 시끄럽다는 것입니다. 그들은 자존심이 큽니다. 그래서 그들은 또한 많이 말합니다. 그들은 Reddit에서 이야기합니다. 그들은 언론인과 이야기합니다. 그래서 여러분은 다양한 출처에서 정보를 얻습니다. 예를 들어, 그룹이 실제로 윤리 강령을 가지고 있는 것을 보았습니다. 그들이 무엇을 하거나 하지 않을지에 대한 것입니다. 그들이 실수로 병원을 공격했을 때, 병원에서 그들에게 “이봐, 병원을 공격했고, 그런 짓을 해서는 안 돼”라고 말했을 때, 이러한 경우 이러한 그룹 중 일부는 이전에 비용을 청구하지 않고 병원의 네트워크를 해독했습니다.
“랜섬웨어 그룹 중 다수는 ‘이런 짓 하지 마. 우리는 여기서 좋은 사업을 하고 있어.’라는 생각을 가지고 있었습니다.”
하지만 저는 그게 바뀌었다고 생각합니다. 그리고 우크라이나 전쟁 과정에서도 바뀌었다고 생각합니다. 왜냐하면 많은 러시아 집단이 기본적으로 우리가 서로 전쟁 중이라는 걸 이제 이해한다고 생각하기 때문입니다. 물론 러시아인들은 미국이 그들과 전쟁 중이라고 믿습니다. 우크라이나에서 무슨 일이 일어나고 있는지 보면, 우리는 전쟁 중이라고 말할 수 있습니다. 더 이상 아무도 서로에게 전쟁을 선포하지 않습니다. 하지만 우리의 무기는 싸움에 사용되고 있습니다.
그렇다면 우크라이나 침공 이후 사람들은 랜섬웨어 공격에 어떻게 대응하고 있을까요?
크리스텐슨: 그래서 지금은 훨씬 더 높은 수준으로 끌어올려 기업과 은행을 노리고 있습니다. 대규모 그룹을 노리고 모든 것을 운영하는 모든 인프라를 무너뜨리고 있습니다. 기업 시스템, 모든 사업에 사용하는 ERP 시스템, 이메일 등을 말입니다. 그리고 어떤 의미에서는 데이터를 훔쳐서 인질로 잡고 있습니다.
그들은 실제로 궁극적인 고통스러운 지점으로 돌아갔습니다. 즉, 비즈니스에서 해야 할 일을 할 수 없다는 것입니다. 이러한 상황 중 하나에 연루되었을 때 우리가 묻는 첫 번째 질문 중 하나는 회사가 누구인지 모르는 경우 “이러한 시스템을 사용할 수 없는 경우 비즈니스에서 매일 실제로 얼마의 소모율이 발생합니까?”입니다. 그리고 그 중 일부는 얼마인지 이해하는 데 약간의 노력이 필요합니다. 일반적으로 저는 정확한 금액을 찾지 않고 일반적인 숫자만 찾습니다. 하루에 백만 달러입니까? 5백만 달러입니까? 1천만 달러입니까? 그 금액이 얼마이든, 지불해야 할 금액의 종점으로 정의하기 시작하기 때문입니다.
랜섬웨어-as-a-service란 무엇인가? 어떻게 진화했는가? 그리고 그 의미는 무엇인가?
크리스텐슨: 기본적으로 랜섬웨어 그룹이 매우 전문적으로 플랫폼을 만든 것과 거의 같습니다. 그리고 회사 시스템에 침입할 방법을 알고 있다면 그들에게 접근하여 “이 시스템에 접근할 수 있습니다.”라고 말합니다. 또한 그들은 내부에 들어가면 네트워크를 탐색하는 데 능숙한 사람들을 보유하고 있습니다. 왜냐하면 내부에 들어가면 회사에 무언가 일어났다는 것을 알리지 않도록 매우 조심해야 하기 때문입니다. 그들은 [company’s] 데이터. 그런 다음 동일한 그룹이나 그 그룹의 다른 사람이 해당 회사, 해당 피해자를 위해 맞춤형 또는 사용자 지정 버전의 암호화를 만들 것입니다. 그리고 그들은 그것을 배포합니다.
대규모로 진행되기 때문에 랜섬웨어는 더욱 정교해지고 업데이트되며 매번 습득한 교훈을 바탕으로 더욱 개선될 수 있습니다.
그러면 몸값을 협상할 협상자가 있습니다. 그리고 그들은 기본적으로 돈에 대한 에스크로 시스템을 가지고 있습니다. 그래서 몸값을 받으면 그 돈은 하나의 디지털 지갑으로 들어갑니다. 때로는 두 개가 되기도 하지만 보통은 하나입니다. 그리고 그 돈은 이벤트에 참여한 사람들 사이에서 나뉩니다. 그리고 이 플랫폼을 운영하는 사람들, 랜섬웨어 서비스, 그들은 전체를 설정하는 작업을 했기 때문에 대부분을 얻습니다. 하지만 그 다음에는 모두가 그로부터 몫을 얻습니다.
그리고 여러분이 대규모로 그것을 하기 때문에, 랜섬웨어는 상당히 정교해지고 업데이트될 수 있으며, 그들이 배우는 교훈을 통해 매번 더 나아질 수 있습니다. 그래서 그것이 서비스로서의 랜섬웨어입니다.
랜섬웨어 즉 서비스 회사는 어떻게 계속해서 사업을 수행할 수 있을까?
크리스텐슨: 실제로 그들은 지금은 손댈 수 없는 존재입니다. 왜냐하면 그들은 대부분 러시아에 기반을 두고 있기 때문입니다. 그리고 그들은 무너뜨리기 매우 어려운 인프라를 사용하여 운영됩니다. 거의 방탄 수준입니다. 구글에 가서 “이 웹사이트는 범죄입니다. 무너뜨리세요.”라고 말할 수 있는 것이 아닙니다. 그들은 다른 유형의 환경에서 운영됩니다. 그렇긴 하지만 우리는 일부 인프라를 무너뜨리는 데 성공했습니다. 그래서 특히 FBI는 국제 법 집행 기관과 협력하여 최근에 주목할 만한 성공을 거두었습니다. 왜냐하면 그들은 이러한 그룹 중 일부를 무너뜨리는 데 많은 노력을 기울였기 때문입니다. 특히 그 중 하나는 하이브.
그들은 매우, 매우 훌륭했고, 많은 피해를 입혔습니다. 그리고 FBI는 그들의 시스템에 침투하여 효과적으로 복호화 키를 얻어 많은 피해자에게 제공할 수 있었습니다. 거의 6개월 동안, FBI에 공격을 보고한 많은 회사들이 무료로 복호화를 받을 수 있었습니다. 많은 회사들이 그렇게 하지 않았는데, 정말, 정말 어리석은 일이었고, 그들은 돈을 지불했습니다. 그리고 그것은 제가 종종 놀라는 일인데, FBI에 보고하지 않는 회사들이 있기 때문입니다. 그렇게 하는 데는 아무런 단점이 없기 때문입니다. 하지만 고객을 대신하여 FBI에 보고하고 싶어하지 않는 변호사들이 많은데, 저는 그것이 매우 근시안적이라고 생각합니다.
하지만 몇 달 또는 몇 년의 노력이 필요합니다. 그리고 당신이 노력하는 순간, 이 집단들은 다른 곳으로 이동합니다. 당신은 그들을 감옥에 가두는 일이 많지 않습니다. 그러니까 기본적으로, 그들은 그냥 사라지고 다른 곳에서 다시 모입니다.
최근 랜섬웨어 공격의 예를 들어볼까요?
크리스텐슨: 내가 관여하지 않았지만 정말 흥미롭다고 생각하는 것은 다음과 같습니다. CDK라는 회사에 대한 공격. 이건 꽤 많은 홍보를 받았어요. 그래서 세부 사항은 꽤 잘 알려져 있죠. CDK는 많은 자동차 딜러에게 백오피스 서비스를 제공하는 회사입니다. 그래서 지난 몇 달 동안 자동차를 사려고 했거나 자동차를 정비하려고 했다면 딜러에게 갔을 때 그들은 컴퓨터에서 아무것도 하지 않았습니다. 전부 종이에 적혀 있었죠.
그런 다음 위협 요인이 다시 침투하여 두 번째 공격을 감행했으며, 이번에는 백업을 포함한 더 광범위한 시스템에 피해를 입혔습니다.
그리고 이것은 실제로 자동차 산업에 상당한 영향을 미쳤습니다. 왜냐하면 그 시스템을 방해하면 연쇄적으로 퍼지기 때문입니다. 그리고 그들이 이 특정 사례에서 한 일은 랜섬웨어 그룹이 이 회사가 기본적으로 다른 모든 사업을 무너뜨릴 것이라는 것을 알고 핵심 시스템을 공격했다는 것입니다. 그래서 그것은 매우 심각한 문제였습니다. 우리가 읽을 수 있었던 바에 따르면, 그 회사는 프런트 엔드에서 심각한 실수를 저질렀습니다.
첫 번째 규칙은 1번입니다. 랜섬웨어나 어떤 종류의 시스템 손상이 있을 때, 먼저 시스템에서 위협 행위자를 추방했는지 확인해야 합니다. 그들이 여전히 내부에 있다면, 큰 문제가 있는 것입니다. 그래서 그들이 깨달은 것 같습니다. [were being attacked] 주말에, 제 생각에는, 그들은 깨달았습니다. “맙소사, 우리가 이 시스템을 다시 가동하지 않으면, 많은 고객들이 우리에게 정말, 정말 화를 낼 거야.” 그래서 그들은 복구하기로 결정했습니다. 그리고 그들이 그렇게 했을 때, 그들은 여전히 시스템에 위협 행위자를 두었습니다.
그리고 위협 행위자가 다시 들어와 두 번째로 공격을 가한 것으로 보이며, 이번에는 백업을 포함한 더 광범위한 시스템에 피해를 입혔습니다. 그래서 그들이 그렇게 했을 때, 그들은 본질적으로 회사를 완전히 무너뜨렸고, 복구하는 데 적어도 한 달 이상이 걸렸고, 수억 달러의 비용이 들었습니다.
그러면 CDK 공격으로부터 무엇을 배울 수 있을까?
크리스텐슨: 랜섬웨어의 위험을 줄이기 위해 할 수 있는 일은 많습니다. 하지만 지금 가장 중요한 것은 좋은 계획을 세우고, 그 계획을 테스트해야 한다는 것입니다. 랜섬웨어에 걸리는 날이 리더십 팀이 랜섬웨어에 대해 이야기하거나 누가 무엇을 할 것인지에 대해 이야기하는 첫날이라면, 당신은 이미 시대에 뒤처진 것입니다.
중요한 것은 계획 자체가 아니라 계획입니다.
그리고 많은 사람들이 “음, 계획이 있네. 알겠어. 그럼 계획이 있네. 이 체크리스트를 따를 거야.”라고 생각합니다. ” 하지만 그건 사실이 아닙니다. 계획을 따르지 않습니다. 계획의 요점은 사람들이 이 문제를 처리할 수 있도록 준비하는 것입니다. 중요한 것은 계획이 아니라 계획입니다. 그리고 그것은 많은 노력이 필요합니다.
솔직히 말해서 많은 회사가 이런 종류의 공격에서 무슨 일이 일어날지 상상할 상상력이 없다고 생각합니다. 안타까운 점은, 여러 면에서 다른 사람들이 자신들보다 먼저 공격을 받을 것이라는 도박을 하고 있다는 것입니다. 제 관점에서 보면, 그것은 진지한 사업 전략이 아닙니다. 이 위협의 만연함은 매우 심각하기 때문입니다. 그리고 모두가 어느 정도 동일한 시스템을 사용하고 있습니다. 그래서 당신은 그들이 다른 10개 회사 중에서 당신을 골라내지 않을 것이라는 도박을 하고 있는 것입니다.
여오늘날 랜섬웨어 그룹이 감지를 피하고 보안 조치를 우회하기 위해 사용하는 새로운 기술과 기법으로는 어떤 것들이 있습니까?
크리스텐슨: 그래서 대체로 그들은 여전히 같은 시도되고 검증된 기술을 사용합니다. 그리고 그것은 불행한 일입니다. 왜냐하면 그것이 말해야 할 것은 이러한 회사 중 다수가 배웠어야 할 것에 따라 보안을 개선하지 않았다는 것입니다. 그래서 가장 흔한 공격 벡터 중 일부, 즉 이러한 회사로 침투하는 방법은 인프라의 일부가 다중 요소 인증으로 보호되지 않는다는 사실입니다.
회사에서는 종종 “음, 이메일에 다중 인증이 있으니 괜찮죠?”라고 말합니다. 그들이 잊고 있는 것은 회사 네트워크에 침투할 수 있는 다른 방법이 많다는 것입니다. 대부분 가상 사설망, 원격 도구와 같은 것들이죠. 그리고 이런 것들은 다중 인증으로 보호되지 않습니다. 그리고 이런 것들이 발견되면 위협 행위자가 찾는 것이 어렵지 않습니다. 왜냐하면 일반적으로 회사가 사용하는 소프트웨어 목록을 보고 외부에서 이런 것들을 스캔하면 특정 유형의 소프트웨어 버전을 볼 수 있기 때문입니다. 그리고 해당 소프트웨어가 다중 인증을 지원하지 않는다는 것을 알고 있거나, 비밀번호를 입력할 때 다중 인증을 요구하지 않는다는 것을 쉽게 알 수 있습니다. 그런 다음 매우 효과적인 무차별 대입 기술을 사용하여 비밀번호를 추측하면 침투할 수 있습니다.
사실상 모든 사람이 같은 비밀번호를 사용합니다. 그들은 비밀번호를 재사용합니다. 그래서 이런 범죄 집단이 대기업을 한 단계에서 해킹한 다음, 거기에서 모든 비밀번호를 얻는 것은 매우 흔한 일입니다. 그리고 그들은 그 사람이 다른 회사에 있고, 그들이 같은 비밀번호를 사용한다는 것을 알아냅니다. 때로는 변형을 시도합니다. 그것은 거의 100%의 시간 동안 작동합니다.
오늘날 랜섬웨어 반대론자와 랜섬웨어 퇴치론자들이 기다리는 기술이 있을까요? 아니면 게임이 대중의 인식에 관한 것일까요?
크리스텐슨: Microsoft는 매우 효과적이었습니다. 대규모 봇 인프라를 무너뜨리다법무부와 협력합니다. 하지만 이것은 더 독립적으로 이루어져야 합니다. 왜냐하면 정부가 이 모든 것을 축복해야 한다면, 글쎄요, 그러면 아무 일도 일어나지 않을 것이기 때문입니다. 그래서 우리는 프로그램을 설정해야 합니다. 우리는 특정 기업 그룹이 이것을 하도록 허용합니다. 그들은 참여 규칙을 가지고 있습니다. 그들은 자신이 하는 모든 것을 공개해야 합니다. 그리고 그들은 그것으로 돈을 벌고 있습니다.
제 말은, 그들은 위험을 감수할 것이기 때문에, 그것으로 돈을 벌어야 한다는 겁니다. 예를 들어, 이런 그룹에서 훔친 비트코인의 절반을 가져갈 수 있도록 허용하거나 그런 식으로요.
하지만 제가 보고 싶은 것은 이 위협 행위자들이 밤에 편안하게 잠을 자지 못하는 것입니다. 지금 방어를 위해 싸우는 사람들이 밤에 편안하게 잠을 자지 못하는 것과 같은 방식입니다. 그렇지 않으면, 그들은 저기 앉아서 그들이 원하는 것을, 그들이 원하는 때에, 그들의 주도권에 따라 할 수 있습니다. 군사적 사고방식에서 그것은 최악입니다. 적이 모든 주도권을 가지고 있고 반격에 대한 두려움 없이 계획을 세울 수 있을 때, 당신은 정말 나쁜 위치에 있습니다.
