■ 급격한 성장세를 보이는 RansomHub 그룹은 누구?

‍

‍

2024년 2분기 KARA 랜섬웨어 동향 보고서에 따르면, 랜섬웨어 그룹들은 취약점을 악용해 지속적인 랜섬웨어 공격을 수행했습니다. 생성형 AI 악용, BitLocker 악용,취약점 악용 등 다양한 전략을 통해 피해 사례가 꾸준히 증가한 것으로 밝혀졌는데요. 특히, 급격한 성장세를 보이고 있는 RansomHub 그룹은 주로 오래된 취약점을 악용한 것으로 확인됐습니다.

‍

‍

RansomHub 그룹은 Knight 랜섬웨어의 리브랜딩으로, Go 언어로제작됐으며 Gobfuscate^*를 통해 난독화되어 있다는 특징이 있습니다. ZeroloLogon 취약점^**이라고도 불리는CVE-2020-1472 취약점을 통해 초기 침투를 하기도 하며 Atera,Splashtop와 같은 RMM 도구^***를통해 접근하기도 했습니다. 또한, NetScan^****을통한 네트워크 스캔 작업을 수행하고 확산을 시도했으며, iisreset.exe 혹은 iisrstas.exe와 같은 도구를 활용해 백업으로 사용되는 IIS 서비스^*****를 중단시켜 복구를 어렵게 만들기도 했습니다.

_{* Gobfuscate: Go 언어로 작성된 코드를 난독화하여 분석이어렵게 만드는 도구}

_{** Zerologon 취약점(CVE-2020-1472):Netlogon Remote Protocol을 이용해 도메인 컨트롤러에 취약한 보안 채널 연결을 설정하고 도메인 관리자 접근 권한을획득하는 권한 상승 취약점}

_{*** RMM 도구: 원격으로 시스템을 관리할수 있게 하는 도구}

_{**** NetScan: 네트워크에 존재하는 호스트를 검색하고 특정 포트의 상태를 스캐닝하는 도구}

_{***** IIS 서비스: 웹 서버 소프트웨어로웹 사이트 호스팅 및 관리를 위해 사용}

🚨 RansomHub 랜섬웨어 특징

ㆍ Go 언어로 제작된 랜섬웨어로, Gobfuscate를 통한 난독화로 인해 함수 이름과 변수, 타입 상수 등 심볼 정보가 숨겨져 있습니다.

ㆍ 실행에 필요한 설정값은 암호화되어 있으며 복호화에 필요한 키값 실행 시 -pass 인자를 통해 전달하고 pass 키가 없을 경우 정상 실행이 불가합니다.

ㆍ 암호화된 설정값 외에도 실행에 필요한 문자열이 각각 고유한 키로 인코딩되어 있어 실행 중 필요할 때마다 디코딩 후사용합니다.

ㆍ 빠른 암호화를 위해 파일 크기에 따라 다른 암호화 방식을 사용하고 2MB 이상의파일은 부분 암호화 사용합니다.

‍

더 자세한 RansomHub 심층분석은 2024 2Q KARA 랜섬웨어 동향 보고서를 통해 확인하세요!(클릭)

‍

그렇다면 RansomHub 그룹에 대응할 수 있는 방법은 어떤 것들이 있을까요?

■ RansomHub랜섬웨어에 대응할 수 있는 방안은?

RansomHub 랜섬웨어는 취약점을 통해 초기 침투를 수행하는 것으로 관찰되었으며, 서비스형 랜섬웨어RaaS(Ransomware as a Service)로 운영되는 만큼 다양한 계열사를 보유하고 있어 여러 경로로 공격할 가능성이 높습니다. 초기 침투 후에도 다양한 RMM 도구와 네트워크 스캐닝 도구를 통해 지속성을 유지하고 내부 시스템에 전파되는 등 악성 행위를 수행합니다. 따라서, 개인 사용자와 기업 사용자 모두 최소한의 보안 대책을 수립하고 적용해야 하는데요. 무엇보다 초기 침투를 예방하는 것이 가장 중요하고, 이후 발생할 수 있는 피해에 효과적으로 대응할 수 있어야 합니다. 그럼 지금부터 랜섬웨어 공격 대응 방안에 대해 함께 살펴보겠습니다.  

‍

1️⃣ 사전 점검

랜섬웨어 대응에 있어 가장 중요한 것은 초기 침투 예방입니다. 시스템에 존재하는 잠재적인 위협을 진단하고 운영 중인 시스템을 최신 버전으로 유지하는 등 초기 침투 경로를 차단해야 하는데요. 이외에도 구성원의 보안 인식을 제고할 수 있는 모의 훈련을 실시하며 체계를 점검해야 합니다.

2️⃣ 위협 탐지

사전에 예방하지 못했다면 이후에는 랜섬웨어 위협 탐지가 빠르게 진행되어야 하는데요. 랜섬웨어 차단을 위한 대응 솔루션 연계, 원격 관제를 통한 관제등으로 외부공격 및 내부 확산 시도를 차단해야 합니다.

3️⃣ 대응 및 복구

랜섬웨어 공격이 수행되었을 경우, 피해를 최소화할 수 있도록전문 백업 서비스를 통한 피해 복구 및 재발 방지대책 등을 수립해야 합니다. 2차 피해 방지를 위한 다크웹 유출 탐지 서비스와 랜섬웨어 안심 보험 서비스도 함께 도입한다면 보다 효과적인 대응이 가능하겠죠?

■ 효과적인 랜섬웨어 대응을 위한 원스톱서비스, SK쉴더스 MDR 서비스

‍

랜섬웨어 공격은 사전 예방이 가장 중요하지만, 피해 발생시 신속한 조치를 통해 피해를 최소화하는 것도 중요합니다. 단계별 대응 방안에 맞는 개별 서비스를 도입해 보안 체계를 마련하는 것이 어렵게만 느껴진다면 SK쉴더스 MDR 서비스를 이용해 보세요 . SK쉴더스는 사전 점검부터 대응 및 복구까지 모두 책임지는 원스톱 MDR 서비스를 제공하고 있습니다. 실시간 위협 모니터링을 통해 이상 징후를 감지하고 숙련된 전문가의 신속한조치로 랜섬웨어에 효과적으로 대응할 수 있는데요. 또한 SK쉴더스가 축적해온 독보적인 보안 노하우를 기반으로 고객 맞춤형 서비스를 제공하고 있어 기업에 최적화된 보안 체계를 수립할 수 있습니다.

✅ Managed EDR 전문가 운영 대행

24X7 관제요청 접수가 가능하며 숙련된 운영 전문가의 신속한 대응 체제를 보유하고 있습니다. 다양한 산업군 레퍼런스를 통해 고객 환경 맞춤형 서비스를 제공합니다.

​

✅ Detection SK쉴더스 상세 분석 서비스

Top-CERT 및 악성코드 분석가를 통해 최적화된 보안 체계를 수립이 가능합니다. 전담 조직 체제를 통해 주기적인 위협 헌팅 및 상세 분석을 진행하며 신속하고 정확한 대응 서비스를 제공합니다.

​

✅ Response 침해사고 관점 통찰력

국내 최다 침해 사고 분석 및 조사 노하우를 보유하고 있어 국내 최대 보안 수준으로 대응이 가능합니다. 또한, 고객 보안 부서와의 협업을 통해 위협 확산을 차단하는 등 사전 보안 위협 대응 역량을 강화할 수 있습니다.

날로 치밀해지는 랜섬웨어 공격, 신속 정확한 사고 조사와 분석을 토대로 맞춤형 보안솔루션을 제공하는 SK쉴더스 MDR 서비스로 대응해 보세요!

‍

_{[콘텐츠 내용 출처]}

_{- KARA, 2024년 2분기 KARA 랜섬웨어 동향 보고서}

_{- SK쉴더스, 2024년 2분기 ‘KARA 랜섬웨어 동향 보고서’ 공개… 2분기 랜섬웨어 공격18% 증가}

_‍