랜섬웨어는 클라우드 데이터를 암호화할 수 있습니다

랜섬웨어는 모래알만큼 작으며 어디에나 있습니다. 그리고 그들은 당신이 생각하는 것보다 더 많은 것을 암호화할 수 있습니다. 개인 파일을 파괴하는 것은 큰 손실이지만, 랜섬웨어가 복사본을 공격하면 이러한 고통은 더욱 커집니다.

하드 드라이브뿐만 아니라 다른 시스템 드라이브도 공격하는 랜섬웨어의 변종은 여러 가지가 있으며 클라우드 드라이브도 눈에 띄지 않습니다. 따라서 이제 정확히 어떤 파일 백업이 있는지, 복사본이 어디에 보관되어 있는지 검토해야 할 때입니다.

곳곳에서 랜섬웨어 공격

우리는 랜섬웨어 공격이 치명적일 수 있다는 것을 알고 있습니다. 랜섬웨어 는 대상 파일이 모든 종류의 사진, 음악, 영화 및 문서이기 때문에 특별한 장애물입니다. 하드 드라이브에는 암호화의 주요 대상인 개인, 업무 및 비즈니스 파일이 들어 있습니다. 암호화되면 파일의 안전한 공개를 위해 일반적으로 추적하기 어려운 비트코인으로 지불을 요구하는 몸값 메시지가 표시됩니다.

그럼에도 불구하고 암호화된 비밀번호나 암호 해독 도구를 받을 것이라는 보장은 없습니다.

크립토락커

CryptoLocker는 여러 개의 하드 드라이브를 암호화할 수 있는 암호화 랜섬웨어 의 변종 입니다. 2013년에 처음 등장하여 감염된 이메일 첨부 파일을 통해 확산되었습니다. CryptoLocker가 컴퓨터에 설치되면 하드 드라이브에서 특정 파일 확장자 목록을 검색할 수 있습니다. 또한 USB 또는 네트워크 등 시스템에 연결된 모든 드라이브를 검색합니다.

읽기/쓰기 액세스 권한이 있는 네트워크 드라이브는 하드 드라이브처럼 암호화됩니다. 직원이 공유 네트워크 폴더에 액세스하는 기업에게는 어려운 일입니다.

다행스럽게도 보안 연구원들은 CryptoLocker의 피해자 데이터베이스 사본을 공개하고 각 암호화와 일치시켰습니다. 그들은 피해자가 파일을 해독할 수 있도록 Decrypt CryptoLocker 포털을 만들었습니다.

진화: CryptoFortress

CryptoLocker가 등장하여 피해자가 500,000명이라고 주장했습니다. Dell SecureWorks의 Keith Jarvis에 따르면 CryptoLocker는 강탈 작전을 통해 처음 100일 동안 3천만 달러를 받았을 수 있습니다(피해자가 몸값으로 300달러를 지불하면 최대 1억 5천만 달러까지 올라갈 수 있습니다). 그러나 CryptoLocker를 제거한다고 해서 네트워크 드라이버 매핑 랜섬웨어 예방이 시작되는 것은 아닙니다.

CryptoFortress는 보안 연구원 Kafein에 의해 2015년에 발견되었습니다. TorrentLocker의 모양과 접근 방식이 있지만 주요 발전 사항 중 하나입니다. 매핑되지 않은 네트워크 드라이버를 암호화할 수 있습니다.

일반적으로 랜섬웨어는 매핑된 네트워크 드라이브 목록(예: C:, D:, E: 등)을 검색한 다음 드라이브를 검사하고 파일 확장자를 비교한 다음 암호화합니다. 해당 파일을 암호화합니다. 또한 CryptoFortress는 열려 있는 모든 SMB(서버 메시지 블록) 네트워크 공유를 열거하고 발견된 모든 것을 암호화합니다.

록키

Locky는 랜섬웨어의 또 다른 변종으로, 개별 파일을 .locky로 변경하는 것으로 유명하며 wallet.dat(비트코인 지갑)로 유명합니다. Locky는 또한 컴퓨터의 파일이나 매핑되지 않은 네트워크 공유의 파일을 대상으로 하여 프로세스에서 파일을 변경합니다. 이러한 혼란은 복구 과정을 더욱 어렵게 만듭니다.

게다가 Locky에는 디코더가 없습니다.

클라우드상의 랜섬웨어

랜섬웨어는 네트워크와 컴퓨터의 물리적 메모리를 우회하고 클라우드 데이터도 초월합니다. 이것은 중요한 문제입니다. 클라우드 스토리지는 데이터를 내부 네트워크 공유에서 멀리 떨어진 곳에 백업하여 주변 위험으로부터 격리시키는 가장 안전한 백업 옵션 중 하나로 자주 소개됩니다. 그러나 불행하게도 랜섬웨어 변종은 이 보안을 우회했습니다.

RightScale의 클라우드 현황 보고서에 따르면 기업의 82%가 멀티 클라우드 전략을 사용하고 있습니다. Intuit의 추가 연구(Slideshare ebook)에 따르면 2020년까지 중소기업의 78%가 클라우드 기능을 사용할 것으로 나타났습니다. 크고 작은 기업의 이러한 급격한 변화로 인해 클라우드 서비스는 랜섬웨어 공급업체의 주요 표적이 되었습니다.

Ransom_Cerber.cad

악성 코드 공급업체는 이 문제를 해결할 수 있는 방법을 찾을 것입니다. 소셜 엔지니어링과 이메일 피싱은 핵심 도구이며 강력한 보안 제어를 우회하는 데 사용될 수 있습니다. Trend Micro 보안 연구원들은 RANSOM_CERBER.CAD라는 특별한 랜섬웨어 변종을 발견했습니다. Microsoft 365, 클라우드 컴퓨팅 및 생산성 플랫폼을 사용하는 가정 및 비즈니스 사용자를 대상으로 합니다.

Cerber 변종은 AES-265와 RSA의 조합을 사용하여 442개의 파일 형식을 암호화하고, 컴퓨터의 Internet Explorer 영역 설정을 수정하고, 섀도 복사본을 제거하고, Windows 시동 복구를 비활성화하고 Outlook 프로그램, The bat!, Thunderbird 및 Microsoft Word를 종료할 수 있습니다.

또한 이는 다른 랜섬웨어 변종에서 나타나는 동작이며 Cerber는 영향을 받는 시스템의 지리적 위치를 쿼리합니다. 호스트 시스템이 독립 국가 연합(러시아, 몰도바, 벨로루시 등 구소련 국가)의 구성원인 경우 랜섬웨어는 자동으로 종료됩니다.

오염의 도구로서의 클라우드

랜섬웨어 Petya는 2016년에 처음 나타났습니다. 이 변종에 대한 몇 가지 주목할만한 점은 먼저 Petya가 개인용 컴퓨터의 전체 마스터 부트 레코드(MBR)를 암호화하여 시스템 충돌을 일으킬 수 있다는 점입니다.녹색 이미지. 이로 인해 전체 시스템을 사용할 수 없게 됩니다. 그런 다음 재부팅 시 두개골 사진과 비트코인 ​​지불 요청과 함께 Petya 랜섬 노트가 대신 표시되었습니다.

둘째, Petya는 요약본으로 가장하여 Dropbox에 저장된 감염된 파일을 통해 여러 시스템으로 확산되었습니다. 이 링크는 랜섬웨어를 설치하기 위해 실제로 자동 압축 풀기 실행 파일에 연결될 때 응용 프로그램 세부 정보로 위장합니다.

다행히 익명의 프로그래머가 Petya의 암호화를 해독하는 방법을 찾았습니다. 이 방법은 MBR 잠금을 해제하고 캡처된 파일을 해제하는 데 필요한 암호화 키를 감지할 수 있습니다.

클라우드 서비스를 사용하여 랜섬웨어를 확산시키는 것은 이해할 수 있습니다. 사용자는 추가 보안 계층을 제공하기 때문에 클라우드 스토리지 솔루션을 사용하여 데이터를 백업하도록 권장되었습니다. 클라우드 서비스 성공의 열쇠는 안전입니다. 그러나 클라우드 보안에 대한 사용자의 신뢰는 나쁜 목적으로 악용될 수 있습니다.

요컨대

클라우드 스토리지, 매핑되거나 매핑되지 않은 네트워크 드라이버, 시스템 파일은 여전히 ​​랜섬웨어에 취약합니다. 이것은 더 이상 새로운 일이 아닙니다. 그러나 악성코드 유포자들은 백업 파일을 적극적으로 표적으로 삼아 사용자의 불안감을 높이고 있습니다. 오히려 추가적인 예방 조치를 취해야 합니다 .

가정 및 기업 사용자는 중요한 파일을 이동식 하드 드라이브에 백업해야 합니다. 지금 조치를 취하는 것은 신뢰할 수 없는 소스에서 원치 않는 랜섬웨어 감염이 발생한 후 시스템을 복구하는 데 도움이 되는 조치입니다.