[정보보안] 타깃 랜섬웨어 그룹 - LockBit 2.0, CONTI, REvil, Hive 등
1. 타깃 랜섬웨어 그룹
1) 우크라이나와 러시아 전쟁 발발에 따라 타깃 랜섬웨어의 움직임도 대체적으로 위축이 된 상황이다.
2) 하지만, 메이저 타깃 랜섬웨어의 그룹의 활동은 여전히 활발하다. (LockBit 2.0, CONTI, REvil, Hive 등)
3) 전 세계의 큰 기업을 대상으로 활동하는 LockBit 2.0/CONTI, 개인과 기업을 대상으로 주로 활동하는 REvil, 급 부상하는 Hive가 있다.
4) 국가를 대상으로 공격하는 COSTA RICA, 최근 코스타리카의 경우 대통령 집권 첫 날 사이버 침해로 인해 국가 비상사태를 선포하기도했다.
5) 외부의 정보를 바탕으로 조직 내부로 침투하여 정보 유출 등의 최종 목적이 있다.
개인 및 서버, 별도 구입한 정보를 통해 액세스 권한을 획득하여 조직 내부로 침투한다
2. 제로데이 취약점
1) 2021년에 발생한 Log4j 아파치 취약점
2) 2022년에 발생한 Follina 오피스 문서 내 취약점
오피스 워드가 실행될 때 외부 URL 리디렉션 코드가 삽입되어 동작하며, QBOT이 이 취약점을 이용하여 공격을 시도했다.
3. 우주 항공 영역의 사이버 공격
1) 위성과 우주에 대한 연구자료들은 아주 중요한 데이터 자산이기 때문에 위성 통신을 이용하여 사이버 공격을 시도한다.
위성 통신의 경우 대부분이 군사목적으로 사용하지만, 네비게이션, 날씨 등 다양한 분야에 활용되고있다.
2) 국내 사례로 저궤도 통신 위성을 개발하여 초연결 및 초지능의 시대를 열고있다.
4. 사이버 공격 예방 대책
일반적으로 공격자들은 권한상승 -> MFA OFF -> RDP 원격접속 순으로 공격을 시도한다.
능동적인 권한관리와 로그 모니터링을 통해 조직 내부에 대한 침해 사고를 사전에 방지해야한다.
- 모든 사용자에게 MFA를 적용한다.
- 장기 미사용자에 대해서는 제거나 재등록을 통해 계정을 관리한다.