하이브 랜섬웨어: 일루미오 제로 트러스트 세분화로 랜섬웨어의 공격을 제한하는 방법

Vice President, Industry Strategy

9월 29, 2021

23 분 읽기

하이브 랜섬웨어 그룹은 2021년 중반부터 활동했으며, 메모리얼 헬스 시스템 공격을 통해 악명을 얻었습니다. 현재까지 Hive의 가장 두드러진 사건인 이 공격은 Memorial의 전체 온라인 플랫폼을 중단시켰으며, 이로 인해 응급 치료 환자를 네트워크 외부의 시설로 이송해야 했습니다. 올해에만 민간인에게 직접적인 피해를 입힌 랜섬웨어 공격은 콜로니얼 파이프라인과 JBS 푸드에 이어 세 번째입니다.

일반적으로 "뿌리고" 기도하는 방식(즉, 데이터 침해에는 거의 관심이 없고 최대한 빠른 시간 내에 최대한 많은 시스템을 잠그는 방식)을 채택하는 덜 정교한 랜섬웨어 공격자들과 Hive가 차별화되는 점은 무엇인가요?

하이브 랜섬웨어란 무엇인가요?

하이브 랜섬웨어 그룹은 "이중 갈취(" )를 사용하여 표적의 중요 데이터를 잠그기 전에 유출하여 몸값을 높이는 지렛대로 사용하는데, 이는 공격자들 사이에서 주목을 받고 있는 전술입니다.

공격자는 운영 중단과 귀중한 데이터에 대한 액세스에 모두 초점을 맞추고 있기 때문에, 일반적인 운영 중단 중심의 랜섬웨어 공격보다 더 높은 수준의 상호작용과 지속성이 요구됩니다. 이는 어떤 데이터가 유출을 보장할 만큼 가치가 있는지 파악하는 데 추가적인 시간과 노력이 필요하기 때문일 수 있습니다.

하이브 랜섬웨어의 작동 방식

하이브는 다양한 전술과 기법을 사용하여 공격을 실행합니다:

1. 공격은 피해 환경에 액세스할 수 있는 사용자를 대상으로 하는 피싱 공격 또는 사용자가 무의식적으로 악성 페이로드를 다운로드하도록 하는 표적 이메일로 시작됩니다.

2. 페이로드는 종종 코발트 스트라이크(흥미롭게도 펜 테스터가 공격을 시뮬레이션할 때 사용하는 도구로 시작된) 비콘으로, 지속성, 콜백, 측면 이동 및 보조 페이로드 전달을 용이하게 합니다.

3. 다음은 로컬 호스트에서 자격 증명 덤핑 및 Active Directory 환경 매핑입니다.

4. 멀웨어의 측면 이동과 광범위한 확산은 Microsoft의 원격 데스크톱 프로토콜(RDP)을 사용하여 용이하게 이루어집니다. 그러나 하이브 그룹은 공격을 진행하는 수단으로 취약점을 악용하는 것으로도 알려져 있습니다. 예를 들어, 피해 네트워크에서 해당 도구가 발견되었다면 소프트웨어 공급업체의 공급망 위험을 더욱 잘 드러내는 ConnectWise Automate 엔드포인트 관리 취약점을 악용한 사례입니다.

5. 2차 페이로드의 다운로드는 아웃바운드 콜백 채널이 설정된 후 코발트 스트라이크 비콘으로 전송된 명령에 의해 촉진됩니다. 이 페이로드는 궁극적으로 몸값 요구를 용이하게 하는 악의적인 작업을 실행합니다.

6. 페이로드는 다음 작업을 수행합니다:

진행을 방해하거나 알림을 생성할 수 있는 서비스 중지하기
관련성이 있을 수 있는 파일에 대한 모든 첨부 저장소 열거
특정 파일 유출
동일한 파일의 로컬 암호화
랜섬노트 생성

일루미오 제로 트러스트 세그멘테이션의 지원 방법

멀웨어와 랜섬웨어는 조직에 처음 침투한 후 일반적으로 환경 내에서 확산하기 위해 측면 이동을 사용하여 적절한 사용자 자격 증명에 대한 액세스를 악용합니다.

Hive는 원격 데스크톱 프로토콜(RDP)을 활용하여 측면으로 이동합니다. RDP는 원격 액세스 및 원격 관리를 용이하게 하기 위해 액세스 가능한 상태로 두는 경우가 많으며, 그 결과 랜섬웨어의 초기 공격 벡터로 많이 사용됩니다.

이러한 점을 고려할 때, 조직이 Illumio Core를 사용하여 Hive 랜섬웨어에 대한 방어를 개선하기 위해 취할 수 있는 몇 가지 단계가 있습니다:

모니터: 모든 엔드포인트에 일루미오 에이전트를 배포하고 트래픽 흐름을 모니터링하세요. 이렇게 하면 엔드포인트와 주고받는 모든 흐름에 대한 가시성을 확보할 수 있으며, SOC(보안 운영 센터)에서 정상적인 동작 패턴을 벗어난 RDP 연결과 알려진 악성 행위자(예: Hive Command & 제어 인프라)로의 발신 연결을 식별하는 데 사용할 수 있습니다.
노출 제한: 워크로드 간 액세스가 개방되어 있을수록 랜섬웨어가 더 빨리 확산될 수 있습니다. 유비쿼터스 RDP가 필요하지 않다는 것을 알고 있다면, 시행 경계를 활용하여 엔드포인트 간에 기본적으로 RDP를 차단하세요. 예외 규칙을 작성하여 관리 호스트 및 원격 액세스 게이트웨이의 액세스가 계속 허용되도록 할 수 있습니다. 이렇게 하면 랜섬웨어가 얼마나 빨리 확산될 수 있는지 제한할 수 있습니다.
조직은 승인된 Active Directory 그룹과 연결된 사용자만 전용 점프포스트에서 RDP를 할 수 있도록 하는 Illumio Core의 적응형 사용자 세분화 기능을 활용하여 이러한 제어 기능을 더욱 강화할 수 있습니다.
C2 콜백 채널의 효과를 제한하려면 유사한 경계 개념을 구현하여 Hive와 관련된 모든 공용 IP 또는 FQDN에 대한 액세스를 거부하고 이를 정기적으로 업데이트하세요.
포함: SOC가 감염 가능성이 있는 워크로드를 식별하면 대응 플레이북을 실행하여 대상에 대한 격리 워크로드를 구현함으로써 권한이 있는 조사 컴퓨터와 포렌식 도구로만 액세스할 수 있도록 할 수 있습니다.

랜섬웨어로부터 조직을 보호하는 것은 어려운 일입니다. 하지만 일루미오 코어를 사용하면 랜섬웨어를 쉽게 차단할 수 있어 침해로 인한 영향을 크게 완화할 수 있습니다.

자세히 알아보려면 여기를 클릭하세요: