Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

일루미오로 Clop 랜섬웨어 공격을 막는 방법

론 아이작슨
엔터프라이즈 아키텍처 부문 선임 이사
Illumio Editorial
1월 21, 2022
23 분 읽기

랜섬웨어 환경은 복잡하고 변동성이 큰 공간입니다. 변형이 왔다가 사라지고, 개발자가 서로 빌리고 훔치고, 제휴사가 자신만의 맞춤형 커스터마이징을 추가합니다. 이로 인해 침해가 발생했을 때 정확히 누구와 무엇을 상대하고 있는지 파악하기 어려울 수 있습니다. 또한 명목상 동일한 집단으로부터의 두 개의 개별 공격이 잠재적으로 서로 매우 다른 공격이 될 수도 있습니다.

이 모든 복잡성과 변화에도 불구하고 최근 몇 년 동안 한 가지 영구적인 것은 Clop 그룹이었습니다. 글로벌 로펌과 항공기 제조업체 등 다양한 조직이 피해를 입었으며, 이 과정에서 수억 달러의 피해를 입었습니다.

다행히도 일루미오 고객에게는 클롭 공격이 사이버 재난으로 이어지는 것을 막을 수 있습니다. 이 모든 것은 중요한 네트워크 자산이 서로 통신하는 방식을 이해하고 비필수적인 연결을 대규모로 차단하는 것으로 요약됩니다.

클롭이란 무엇인가요?

Clop은 가장 부유한 랜섬웨어 그룹 중 하나입니다. 보도에 따르면 이 단체와 관련된 돈세탁업자들이 최소 5억 달러를 은닉하려 했다고 합니다. 랜섬웨어로 인한 실제 수익은 훨씬 더 많을 것입니다. 이 멀웨어는 2019년에 처음 등장했으며, CryptoMix로 알려진 이전 변종의 변종입니다. 이후 몇 년 동안 운송 및 물류, 교육, 제조, 의료, 소매업 등 다양한 분야를 타깃으로 활동하게 되었습니다.

과거에는 직접 피싱 공격부터 단일 파일 전송 소프트웨어 제공업체를 노리는 제로데이 익스플로잇에 이르기까지 다양한 초기 액세스 경로와 연관되어 있었습니다. 랜섬웨어 업계에서는 매우 드문 후자의 기법으로 인해 이 그룹은 전 세계적으로 악명을 떨쳤고 많은 기업 피해자가 발생했습니다.

이러한 공격의 대부분을 연결하는 한 가지 공통점은 "이중 갈취입니다." 지금은 랜섬웨어 공격자들 사이에서 흔히 볼 수 있는 랜섬웨어는 Clop과 같은 그룹에 의해 대중화되었습니다. 이러한 공격이 발생하면 피해 조직은 가장 민감한 데이터와 시스템이 암호화될 뿐만 아니라 심각한 데이터 유출을 겪을 수도 있습니다. 이는 기업 피해자의 지분을 효과적으로 높입니다. 암호화된 데이터에 대한 백업이 있을 수 있습니다. 하지만 해커가 민감한 IP나 규제가 심한 고객 데이터를 훔쳤다면 위험도 계산이 크게 달라질 수 있습니다.

Clop은 어떻게 작동하나요?

클롭 공격에는 다양한 변형이 있지만, 제휴사의 공격 방식에는 한 가지 특정 패턴이 유용합니다. 이 공격은 잘못 구성된 AD( Active Directory ) 시스템을 악용하여 도메인 권한이 있는 AD 계정을 손상시킵니다. 이를 통해 공격자는 왕국의 열쇠를 손에 넣을 수 있습니다:

  • 손상된 엔드포인트와 AD를 통해 연결된 다른 시스템에서 WMI 및 PowerShell 스크립트와 같은 원격 명령을 실행합니다.
  • 새 계정을 만들거나 시스템 프로세스를 생성/수정하여 손상된 시스템에서 지속성을 유지합니다 . 또한 위협 행위자는 AD를 통해 연결된 모든 네트워크 자산에서 부팅 또는 로그온 시 자동으로 명령을 실행하거나 스크립트를 초기화할 수 있습니다.

이러한 도구를 갖춘 Clop 공격자는 감염된 조직을 꽤 쉽게 이동하여 랜섬웨어를 배포하고 중요한 데이터를 찾아서 유출할 수 있습니다. 추가 툴을 다운로드하고 탈취한 데이터를 업로드하려면 공용 인터넷에 연결해야 합니다.

Clop을 중지하는 방법

이 시나리오에서 Clop 위협을 무력화하려면 보안 팀이 AD 설정이 어떻게 작동하는지에 대한 세부적인 인사이트를 확보해야 합니다. 필요하지 않은 계정에서 도메인 권한 액세스를 제거함으로써(즉, '최소 권한' 원칙을 적용함으로써) 공격 표면을 크게 줄일 수 있습니다. 다음으로 WinRM, NetBIOSSMB를 포함하여 이러한 공격이 악용할 수 있는 일반적인 경로를 제한합니다.

일루미오의 지원 방법

Illumio는 세계 최대 규모의 조직이 Clop 및 기타 랜섬웨어 그룹의 공격을 차단할 수 있도록 지원합니다. 이를 위해 간소화되고 확장 가능한 정책 관리를 제공하여 제로 트러스트 세분화를 시행할 수 있도록 지원합니다.

Illumio를 사용하면 네트워크 자산이 서로 통신하고 공용 인터넷과 통신하는 방식을 실시간으로 파악할 수 있습니다. 그러면 어떤 경로를 열어두고 어떤 경로를 차단할지 전략적으로 결정할 수 있어 공격 표면을 줄이고 악당들이 좋은 선택지를 갖지 못하게 할 수 있습니다.

간단히 말해, Illumio는 다음과 같은 방법으로 Clop 랜섬웨어를 차단할 수 있습니다:

  • 모든 Active Directory 인스턴스 및 연결 매핑하기
  • 필수 인바운드/아웃바운드 연결 식별하기
  • 정책을 신속하게 배포하여 비필수적인 통신을 대규모로 제한하고 열려 있는 모든 경로를 모니터링합니다.

대부분의 그룹과 마찬가지로 Clop은 탄력적입니다. 대대적인 법 집행 기관의 단속으로 체포된 지 불과 며칠 만에 다시 등장해 피해자들을 위협하고 있습니다. 이러한 종류의 지속성을 해결할 수 있는 유일한 방법은 일루미오의 정교한 제로 트러스트 세분화를 사용하는 것입니다.

일루미오가 랜섬웨어 공격을 차단하는 방법에 대해 자세히 알아보려면 지금 바로 문의하세요.

관련 주제

Ransomware Containment

관련 문서

콘티 랜섬웨어 방어: CISA가 마이크로세그멘테이션을 긴급히 권장하는 이유
Ransomware Containment

콘티 랜섬웨어 방어: CISA가 마이크로세그멘테이션을 긴급히 권장하는 이유

기업이 Conti 랜섬웨어로 인해 직면하는 위험과 Illumio 제로 트러스트 세분화가 이러한 공격을 방어하는 데 어떻게 도움이 되는지 알아보세요.

Read more
.Net 어셈블리를 사용하는 랜섬웨어 기법 이해하기: 다단계 공격
Ransomware Containment

.Net 어셈블리를 사용하는 랜섬웨어 기법 이해하기: 다단계 공격

단계별 페이로드 세트를 사용하여 다단계 페이로드 공격의 기본 사항에 대해 알아보세요.

Read more
사이버 인시던트 발생 시 대처 방법 기술적 대응
Ransomware Containment

사이버 인시던트 발생 시 대처 방법 기술적 대응

사이버 사고를 억제하기 위한 즉각적인 기술적 조치에 대해 알아보세요. 제로 환자 격리부터 법의학 증거 수집 및 측면 확산 방지까지.

Read more
랜섬웨어 차단을 위해 일루미오를 사용해야 하는 9가지 이유
Ransomware Containment

랜섬웨어 차단을 위해 일루미오를 사용해야 하는 9가지 이유

Illumio의 실시간 가시성과 간단한 제어 기능으로 사용하지 않는 RDP 포트와 같은 랜섬웨어 위험의 가장 큰 원인을 빠르게 줄이는 방법을 알아보세요.

Read more
일루미오로 LockBit 랜섬웨어 공격을 차단하는 방법
Ransomware Containment

일루미오로 LockBit 랜섬웨어 공격을 차단하는 방법

록빗 랜섬웨어의 작동 방식과 2022년 여름, 일루미오 제로 트러스트 세분화가 록빗 랜섬웨어 공격을 차단한 방법을 알아보세요.

Read more

위반 가정.
영향 최소화.
복원력 향상.

제로 트러스트 세분화에 대해 자세히 알아볼 준비가 되셨나요?

Learn more