2021년에 미국, 영국 및 호주의 정부 사이버 보안 당국은 전세계적으로 중요한 인프라 관련 조직을 대상으로 하는 정교하고 영향력이 큰 랜섬웨어 공겨이 지속적으로 증가하는 것을 관찰했다.

미국, 영국 및 호주  사이버 보안 당국이 작성한 공동 사이버 보안 권고는 관찰된 행동과 경향, 그리고 사이버 방어자가 랜섬웨어 침입에 대한 노출을 줄이는 데 도움이 되는 권장 사항에 대해 설명한다.

  • 2021년 위협 환경 : FBI, CISA, NSA는 美 전역의 16개 핵심 인프라 분야 중 14개 분야에서 랜섬웨어 사고를 관찰했다. 호주 사이버보안센터(ACSC)는 랜섬웨어가 의료, 금융서비스 및 시장, 고등 교육 및 연구, 에너지 부문을 비롯한 호주 전역의 주요 인프라 기관을 계속 노리고 있다는 것을 관찰했다. 또한 英 국립사이버보안센터(NCSC)는 랜섬웨어를 영국이 직면한 가장 큰 사이버 위협으로 보고 교육 부문이 랜섬웨어 공격자의 주요 표적 중 하나가 됐다고 밝혔다. 2021년에는 랜섬웨어 공격이 전술적으로나 기술적으로 모두 계속해서 진화하여 랜섬웨어 위협 행위자가 점점 더 정교해지고 있음을 보여줌으로써 전세계 조직에 더욱 무서운 위협의 그림자를 드리울 것이라고 경고했ㄱ다.
  • 랜섬웨어 공격의 주요 행동 및 경향
    1. 피싱, 도난당한 RDP 자격 증명/무차별 대입 및 익스플로잇을 통해 대상 네트워크에 액세스
    2. 사이버 범죄 서비스 렌탈 시장의 가열 : 독립적인 서비스를 사용해 몸값을 협상하고 다양한 사이버 범죄자 간 분쟁을 중재. 영국 사이버 보안센터에 따르면 일부 랜섬웨어 공격자는 피해자에게 24시간 연중무휴 지원센터를 제공하며 몸값 지불과 시스템 또는 데이터 복구를 신속하게 처리한다고 밝혔다.
    3. 피해자 정보 공유 : 유럽과 아시아의 랜섬웨어 그룹은 서로 피해자 정보를 공유하여 랜섬웨어 공격에 대한 보다 다양한 위협 환경을 조성한다. 이를테면 BlackMatter 랜섬웨어 조직은 공식 종료를 발표한 후 피해자 정보를 다른 조직인 Lockbit 2.0의 인프라로 옮겼다. 2021년 10월, Conti 랜섬웨어 조직은 다른 악의적인 행위자가 후속 공격을 수행할 수 있도록 피해자 네트워크에 대한 액세스 권한을 판매하기까지 했다.

[출처 : 中보안매체 / 2.10.]