뉴스에 접근할 수 있는 모든 사람은 이미 랜섬웨어가 그 어느 때보다 크다는 것을 알고 있으며 공공 및 민간 부문은 다음 표적이 되는 것이 여부가 아니라 언제 문제인지 깨닫고 있습니다.
어쩌다 이 지경에 이르렀습니까? 20년 동안 기업은 안티바이러스 보호 제품을 구매했지만 여전히 게임에서 패배했습니다. 이 블로그에서는 실제 랜섬웨어 대유행의 끝이 아닌 시작만 보고 있는 6가지 중요한 이유에 대해 설명합니다.
1. 깨진 유리창은 고칠 수 없다
Microsoft Windows 및 관련 엔터프라이즈 소프트웨어에는 취약점이 가득합니다. 지난 3개월 동안 Microsoft는 200개 이상의 버그를 패치해야 했으며 그 중 27개는 Critical로, 나머지 대다수는 심각도가 Important로 평가되었습니다. 패치가 출시되기 전에 최소 6개가 적극적인 공격을 받았습니다.
올해 3월에는 MS Exchange 소프트웨어에서 4번의 개별 제로 데이 가 수천 개의 조직에서 침해로 이어졌습니다. 이러한 결함 중 하나는 2013년부터 Microsoft Exchange에 존재했으며 다른 결함은 2016년과 2019년으로 거슬러 올라갑니다.
최근 Windows 프린터 스풀러 서비스의 원격 코드 실행 PrintNightmare 취약점은 Mimikatz 및 Metasploit과 같은 인기 있는 해킹 도구로 빠르게 접혔습니다. 초기에 패치를 적용한 후에도 연구자들은 전체 우회를 빠르게 발견했습니다. FaxHell, Print Demon 및 Evil Printer와 같은 유사한 취약점이 2020년에 발견되었으며 공격자는 앞으로도 이러한 취약점에 노출된 시스템을 계속 찾고 찾을 것입니다.
NTLM 릴레이 공격 은 특히 수년 동안 권한 상승 취약성의 풍부한 소스였습니다. 가장 최근의 PetitPotam 은 공격자가 노출된 도메인 컨트롤러의 전체 환경을 탈취할 수 있는 간단한 방법을 제공합니다.
일부 버그는 한 번에 수십 년 동안 숨겨져 있습니다. CVE-2021-24092는 Windows Defender 의 권한 상승 취약성입니다. Windows Defender 는 공격자를 막아야 하는 Microsoft의 자체 보안 소프트웨어입니다. 이 권한 상승 버그는 12년 동안 패치되지 않았습니다.
이 모든 버그가 결국 발견되고 패치되는 것은 시간 문제일 것이라고 생각하고 싶은 마음이 들지만 불행히도 작동 방식은 그렇지 않습니다 . 새 버그는 새 코드와 함께 도입되며 다른 모든 제품과 마찬가지로 Microsoft는 엔터프라이즈 사용자에게 계속 매력적으로 보이도록 새 기능을 만들고 새 코드를 작성해야 합니다. 최근 HiveNightmare ( 일명 SeriousSAM) 로컬 권한 상승 취약점은 버전 1809의 Windows 10에 실제로 도입되었습니다. 이를 통해 모든 표준 사용자가 보안 팀에 수반되는 모든 공포와 함께 전체 시스템 권한으로 상승할 수 있었습니다.
HiveNightmare는 공격자가 이를 활용하기 위해 시스템에 발판을 마련해야 하지만 PrintNightmare와 같은 다른 결함과 이 결함을 연결하면 위협 행위자에게 액세스 권한과 전체 권한을 모두 부여할 수 있습니다.
위협 행위자의 손에서 이러한 취약점은 손상을 돕고 랜섬웨어 공격을 확산하는 데 사용될 수 있습니다.
2. 정교한 공격은 언제나 단순한 보안을 능가합니다.
버그는 차치하고, Windows 장치의 기본 제공 보안인 Windows Defender는 오늘날의 정교한 공격을 차단하기에 충분하지 않습니다. 여담 OS 공급 업체에서 판매하는 보안 제품의 고유 한 충돌을 퍼팅 (보안 정말 운영 체제 공급 업체에 대한 상향 판매해야 하는가?) 최근의 햇살 / 솔라 윈즈의 공격에 따라, Windows Defender는에 의해 중지되지 않았습니다 NETRESEC . 동일한 출처에 따르면 CrowdStrike 및 Carbon Black을 포함한 일부 타사 공급업체도 맬웨어에 의해 우회되었으며 공격 감지에 필요한 가시성을 제공하지 못했습니다.
물론 정교한 공격은 단순한 보안 제어를 능가하도록 설계되었지만, 기업에 그 이하의 것이 충분했던 시대는 우리보다 훨씬 뒤쳐져 있습니다. 정교한 도구는 더 이상 국가가 지원하는 위협 행위자의 유일한 출처가 아니며 더 이상 국가가 스파이하려는 대상에만 사용되지 않습니다.
금융 범죄의 현대적 위협 상황은 모두 레버리지에 관한 것입니다. 위협 행위자는 데이터를 판매하거나 몸값으로 다시 받거나 둘 다 받기를 원하며 데이터를 얻는 데 필요한 도구를 구매, 개발 및 훔칠 수 있는 능력이 있습니다. Shadow Brokers 가 WannaCry 및 NotPetya 공격에 연루된 EternalBlue 를포함하여 NSA의 강력한 해킹 도구를 유출한 이후로 크라임웨어 갱단은 이러한 특정 도구를 마음대로 사용할 수 있을 뿐만 아니라 그러한 도구가 어떻게 해킹을 당할 수 있는지 알고 있습니다. 건설되다.
게다가 전체 생태계가 다크 웹 에 존재 하여 덜 숙련된 사람들이 다른 사람들이 개발한 강력한 도구에 액세스할 수 있습니다. 랜섬웨어는 서비스로 정교한 악성 코드 개발자는 많은 수의 클라이언트에 판매 할 수있는 모델 수단은 각각 상대적으로 낮은 가격을 지불. 이는 위협 행위자가 침착하게 이해하고 악용한 단순한 경제 모델입니다.
랜섬웨어 계열사가 단순한 제어를 무력화하는 강력한 도구를 사용하여 침입 조직을 기다리고 있기 때문에 기업 보안이 사람에게 의존하여 무거운 일을 처리해야 하는 시대는 지났습니다. 정교한 공격에는 랜섬웨어 공격을 막기 위해 기계 속도로 자율적으로 대응할 수 있는 정교한 도구 가 필요 합니다. 그러나 이 교훈을 배워야 할 조직이 여전히 많이 남아 있지만 공공 및 민간 기업 모두를 괴롭히는 세간의 이목을 끄는 랜섬웨어 공격을 계속 보게 될 것입니다.
3. 위험보다 보상이 크다
버그가 있는 소프트웨어와 취약한 보안 제어 기능도 낮은 위험과 높은 보상과 결합하여 랜섬웨어를 범죄자에게 매력적인 제안으로 만듭니다. 과거에 사이버 범죄자들은 기업과 조직을 공격할 때 기다리고 있던 막대한 보상을 깨닫지 못했고 주로 300달러의 자동 지불 요구를 받은 소비자에게 집중했습니다. 돌아 가기 2010 년 한 사이버 해설자는 할 수 있었다 주의 가 “사건하지만 환자 강탈자 당하지 가너 많은 돈을 지불보다 더 의지 다른이없는 많은 무고한 희생자에 넓은 그물 및 운반을 시전 할 수 있습니다 인터넷에 몸값을.”
그 이후로 상황이 어떻게 변했는지 . 오늘날 랜섬웨어 강탈자들은 이중 강탈을 통해 훨씬 더 많은 수익을 거두고 있습니다 . 한편으로는 오래된 파일 암호화와 함께 다른 한편으로는 데이터를 빼내고 피해자를 협박하는 것입니다. 숫자 게임입니다. REvil 랜섬웨어 운영자는 최근 Kaseya VSA 소프트웨어 의 버그를 악용한 다음 범용 암호 해독 키에 대해 5천만 달러의 일시금을 요청했습니다. 작년에 모든 랜섬웨어 갈취 지불액은 총 3억 5천만 달러 에 달하는 암호화폐 로 추정됩니다 .
범죄의 역사는 사람들이 훨씬 낮은 보상을 위해 큰 위험을 감수할 것임을 가르쳐줍니다. 은행 강도는 종신형을 선고받을 수 있으며 잘못될 가능성이 훨씬 높습니다. 미국 기관에 대한 랜섬웨어 공격(이러한 컴퓨터 범죄 단속에 특별히 관심이 없는 국가에서 집에서 수행됨)은 공원에서 심야 산책보다 덜 위험합니다.
결론은? 우리가 걱정해야 하는 것은 국가가 지원하는 위협 행위자뿐만 아니라 국가 국가에서도 범죄 조직을 용인하는 것입니다. 그리고 서구 어디에서나 일반적인 비즈니스의 경우 후자가 훨씬 더 현실적이고 현재적인 위험입니다.
4. 암호화폐로 결제가 쉬워집니다
암호화폐가 호황을 누리고 있습니다. 반대론자들은 ‘암호화폐 거품’의 위험을 계속해서 이야기하고 있지만 범죄자들은 그것을 익명성, 손쉬운 현금 이체, 그리고 가격이 치솟으면서 부를 향한 빠른 길로 기꺼이 사용합니다.
팬데믹 이전에 비트코인은 7,000달러가 조금 넘는 가격에 거래되고 있었지만 전 세계적으로 경제가 침체되자 비트코인은 호황을 누렸습니다. 2020년 12월까지 $24,000에 거래되었고 2021년 4월에 $64,000를 정점으로 현재 $46,000 부근을 맴돌고 있습니다. 거품은 곧 터질 것 같지 않으며, 기업을 갈취하는 사이버 범죄자에게는 모든 가격 인상이 계속 공격을 가할 동기가 될 뿐입니다.
물론 암호 화폐를 범죄자들에게 매력적으로 만드는 것은 가격 상승만이 아닙니다. 암호 화폐는 블록체인 기술 을 기반으로 하여 소유권을 기록하기 위해 사람의 이름이 아닌 공개 키의 해시 를 사용하기 때문에 범죄에 연루된 모든 사람이 은행 계좌보다 훨씬 더 많은 익명으로 돈을 받을 수 있는 쉬운 방법을 제공 합니다 .
범죄 지불을 추적하려는 이면에는 전체 기술과 산업이 있지만, “현금화”(암호화폐를 현금으로 전환)를 모호하게 하는 범죄자 측의 많은 발명품도 있습니다. 그 혁신 중 일부는 기술적인 것이고 일부는 셸 코퍼레이션의 은행 계좌를 통해 자금을 세탁하는 검증된 방법일 뿐입니다. 이러한 목적으로 사이버 범죄자에게 서비스를 제공하는 금융 범죄 조직이 있습니까? 당신은 거기에 내기 .
5.비즈니스 관성은 레거시 AV가 죽지 않는다는 것을 의미합니다.
사이버 범죄자들은 현대 기술에 돈을 벌지만 대다수의 기업은 오래 전에 패배한 레거시 AV 기술에 매달리고 있습니다. Symantec, Avast 및 McAfee와 같은 AV 보안 제품군은 많은 기업이 몇 년 전 멀웨어 파일 서명 및 해시 에 의존하는 노후화된 기술에 묶여 있었기 때문에 시장 점유율을 계속 유지하고 있습니다.
이러한 기존의 AV 보안 제어의 보급에도 불구하고,이 생길 있었다 추정 이가 사이버 범죄자에 대한 큰 성공으로 간주 될 수 있지만, 2019 년 99 억 명 악성 코드 공격이 2015 년 8.2 억, 혼자, 그것은 실패의 저주의 기소는 사이버 보안의 기존 공급업체 .
비즈니스 리더가 기업 보안에 대한 접근 방식을 재고해야 한다는 통계가 다른 어떤 통계보다 많다면 이보다 더 좋은 통계는 없습니다.
증거는 분명합니다. 위협 행위자는 이러한 오래된 보안 접근 방식에 적응하고 회피했습니다. 공급망 공격 , 파일 리스 공격 , 이러한 보안 제어에 대한 우회 또는 우회 가 알려진 익스플로잇 킷 은 랜섬웨어 운영자와 그 계열사 사이에서 흔히 볼 수 있는 일이며, 이들은 AV 소프트웨어 우회 방법에 대해 다크넷 포럼 에서 뉴스, 트릭 및 기술을 교환 합니다. 일부 는 연구 대회에서 상 을 제공 하기도 합니다 .
6. 공격은 클라우드가 아닌 기기에서 발생
레거시 AV가 실제로 그렇게 많이 바뀌지 않았다면 우리의 네트워크 인프라는 확실히 바뀌었습니다. 클라우드 -에 – 프렘은, 하이브리드, IaaS의는, PaaS를가 , 컨테이너 작업 및 더 – 그 오래된 AVS이의 첫번째 생각 이었기 때문에 알아볼 수 없을 정도로 우리의 환경을 변경했습니다. 이에 대한 대응으로 기존 공급업체와 신규 공급업체 모두 방어 목적으로 클라우드를 이용할 수 있다고 생각했습니다. 모든 장치(물리적이든 가상이든) 원격 측정을 공급업체의 클라우드 리소스로 보내고 그곳에서 분석할 수 있다면 어떨까요? 장점? 그들은 이 모든 것이 클라우드의 추가된 컴퓨팅 성능에 있다고 말합니다.
우리를 돕거나 핵심 방어를 보완하는 기술을 활용하는 것은 옳지만 엔드포인트 장치 보안 의 핵심 은 원격 서버나 원격 분석가에게 있을 수 없습니다. 도둑이 집에 들어왔을 때 마지막으로 원하는 것은 도둑이 집에 있어야 하는지 여부를 원격 경찰이 결정할 때까지 기다리는 것입니다. 도둑이 이미 당신의 물건을 훔쳐갔을 수 있습니다. 그 사이에 어떤 피해를 입힐지 누가 알겠습니까?
엔드포인트 보안도 마찬가지입니다. 직원의 Windows 또는 Linux 워크스테이션, macOS 노트북 또는 개인 장치, 사무실 IoT 또는 회사 서버( 온프레미스 또는 클라우드)를 보호하는지 여부에 관계없이 엔드포인트 보안 솔루션의 핵심에 필요한 것은 이에 대한 자율 에이전트입니다. 위협에 기계 속도로 대응하는 장치 .
랜섬웨어 암호화 속도는 크라임웨어 개발자들 사이 에서 큰 자부심 의 원천이며 , 각각의 새로운 서비스는 경쟁사보다 더 빠르게 암호화하고 유출한다고 주장합니다. 엔드포인트 자체가 최소한의 지연 없이 자동으로 응답하지 못한다고 해서 랜섬웨어의 문제는 사라지지 않을 것입니다. 벤더가 60초 또는 1시간 후 수정에 대해 말할 때 이미 끝난 게임에 들어가는 것에 대해 이야기하고 있습니다. 기계 속도 공격을 물리치기 위해 사람의 노동력에 의존하는 경우에는 해결 방법이 없습니다.
절망하지 마라 답은 거기에 있다
그러나 희망이 있습니다. 더 많은 사람들이 이 전쟁에서 승리하는 방법을 모색하고 있으며 그 시간, 더 정확하게는 속도 가 핵심입니다. 너무 오랫동안 공격자는 기습의 요소를 자신에게 유리하게 사용하여 이전에 공격을 본 적이 있거나 인간 분석가의 평결을 기다리는 데 의존하는 방어를 쉽게 물리쳤습니다.
전장에서 자율적으로 행동하도록 훈련된 보다 강력하고 행동적인 AI 를 보완하는 전략이라면 두 전략 모두 문제가 없습니다 . 공상 과학 소설처럼 들릴지 모르지만 현실은 이미 존재하고 있으며 오늘날 세계 최고의 대기업을 보호하고 있습니다.
우리는 Singularity XDR 플랫폼 이 랜섬웨어의 위협으로부터 우리를 해방시킬 솔루션의 일부 라고 믿습니다 . SentinelOne이 랜섬웨어 및 기타 위협으로부터 조직을 보호하는 데 어떻게 도움이 되는지 자세히 알아보려면 당사 에 연락 하여 자세한 정보 를 얻 거나 무료 데모를 요청하십시오 .