일루미오로 LockBit 랜섬웨어 공격을 차단하는 방법

랜섬웨어의 위험은 많은 조직에서 가장 염두에 두는 문제입니다.

새로운 공격이 끊임없이 헤드라인을 장식하는 상황에서 이를 피하는 것은 불가능합니다. 현재 대부분의 조직은 언젠가는 보안이 침해될 것이라는 가정 하에 운영되고 있습니다. 사이버 재난을 예방하는 가장 좋은 방법은 이에 대한 계획을 세우고 그에 따라 조직을 보호하는 것입니다.

Illumio는 조직이 동서 횡방향 확산을 차단하여 사이버 재난을 예방할 수 있도록 지원합니다. 일루미오를 사용하면 보안 침해가 발생하면 신속하게 차단할 수 있습니다. Illumio는 공격이 하이재킹한 첫 번째 워크로드 이후에는 공격이 진행되지 못하도록 차단하여 귀중한 데이터 손실을 방지합니다.

오늘은 LockBit의 실제 사용 사례를 통해 다음과 같은 내용을 설명해드리겠습니다:

• 락빗이란 무엇인가요?
• 실제 세계에서는 어떤 모습일까요?
• 일루미오로 이를 해결하는 단계별 방법

보안 침해는 무서운 일이지만, 일루미오를 통해 대비할 수 있습니다.

일루미오 제로 트러스트 세분화에 대해 자세히 알아보세요.

락빗이란 무엇인가요?

2019년부터 랜섬웨어를 서비스형 랜섬웨어로 운영해 화제가 되고 있는 그룹이 바로 LockBit입니다. 일반적으로 ABCD 랜섬웨어로 알려진 LockBit은 이제 주요 위협으로 성장하여 2022년에 알려진 공격 중 48건(%)을 차지했습니다.

LockBit은 이메일 첨부 파일과 연쇄적인 파일 시스템 감염을 통해 조직을 표적으로 삼는 악성 소프트웨어입니다. 기업과 개인을 대상으로 하는 다른 유형의 랜섬웨어와 달리 LockBit은 주로 기업과 정부 기관에 영향을 미칩니다.

일단 감염되면 Lockbit은 SMB 및 PowerShell을 통해 네트워크의 다른 장치를 통해 확산됩니다. 이러한 공격의 초점은 Windows 및 Linux 디바이스에 맞춰져 있습니다.

이 조직의 실제 사례를 살펴보겠습니다.

실제 사례: 락빗 랜섬웨어 공격

이는 전 세계의 기업과 기관에 영향을 미치고 있습니다. 지난 여름에는 15만 명 이상의 직원을 고용하는 대규모 다국적 조직이 랜섬웨어에 감염되기도 했습니다. LockBit은 이 공격에 대한 책임이 있으며 자신들이 데이터를 훔칠 수 있었다고 주장했습니다.

이 조직은 IT 시스템에 대한 통제권을 유지하고 IT 시스템의 완전한 무결성을 회복하기 위한 방어 조치를 취할 수 있었습니다. 그들은 제3자와 협력하여 사건을 조사하기 시작했습니다. 늦가을 현재도 여전히 이 문제를 조사하고 있습니다.

이러한 상황이 발생하면 해결하는 데 엄청난 비용과 시간이 소요될 수 있습니다. 3개월이 지난 후에도 조사는 계속 진행 중이었습니다. 이는 모든 유형의 공격을 받는 조직에서 흔히 볼 수 있는 현실입니다.

Illumio는 조직이 이러한 상황에 신속하게 대응하여 불가피한 침해의 영향을 제한할 수 있도록 지원합니다. 이렇게 하면 비용이 많이 드는 조사에 드는 시간과 비용을 절약할 수 있습니다.

일루미오로 랜섬웨어 시나리오에 접근하는 방법

가시성이 핵심

Lockbit이 Windows 10 컴퓨터 중 하나에 침입했을 수 있다는 위험에 대한 경고를 받았습니다. 이 상황에서 가장 먼저 중요한 단계는 영향을 받을 수 있는 잠재적 디바이스의 수를 파악하는 것입니다.

일루미오의 일루미네이션 플러스를 사용하면 OS(운영 체제)에 따라 트래픽을 그룹화할 수 있습니다:

이를 통해 OS별로 디바이스를 명확하게 파악할 수 있습니다. 조직 전체에서 Windows 10 디바이스와 다른 디바이스 간에 활성 트래픽이 있는지 확인하여 다음에 수행할 작업에 대한 정보에 입각한 결정을 내릴 수 있습니다. 주목할 점은 이 트래픽이 실시간으로 표시되므로 오래된 버전인지 기다리거나 걱정할 필요가 없다는 점입니다. 조직 내에서 가장 최신 정보에 액세스할 수 있다는 것을 알고 있습니다.

현재 조직 전체에서 내 Windows 10 디바이스와 다른 디바이스 간에 트래픽이 발생하고 있다는 것을 알았으므로 이러한 디바이스 간의 트래픽을 차단할 계획을 신속하게 수립해야 합니다. LockBit은 일반적으로 SMB와 PowerShell을 사용하여 네트워크 전체에서 이동하므로 위협 분석부터 시작하겠습니다.

다음으로, 영향을 받는 디바이스를 검역소로 이동하고 필요하지 않다고 판단되는 곳에서는 SMB 및 PowerShell을 종료합니다.

확산 방지를 위한 신속한 거부 규칙 구축

이렇게 하려면 Illumio 내에서 거부 규칙을 만들어야 합니다. 이를 제품에서는 시행 경계라고 합니다. 먼저 다음과 같은 이름의 새 규칙을 만들어 Block SMB 및 PowerShell을 만듭니다.

저장을 클릭하면 즉시 이 새로운 규칙에 의해 차단될 가능성이 있는 모든 연결을 확인할 수 있는 페이지로 안내합니다. 이는 규칙을 적용하기 전에 영향이 어디에 있는지 확인하고 영향을 받을 수 있는 항목을 파악할 수 있는 좋은 방법입니다.

영향을 받을 트래픽을 검토한 후 프로비저닝을 클릭하여 새 정책을 적용합니다. 예를 들어 Windows 워크스테이션이 SMB를 통해 지정된 파일 서버에 계속 액세스할 수 있도록 허용하는 등 이 트래픽을 계속 유지해야 하는 경우에는 허용 규칙으로 예외를 만들 수 있습니다.

지금 보호

버튼 클릭 한 번으로 Illumio는 영향을 받는 모든 워크로드에 변경 사항을 즉시 적용합니다. 이를 통해 비즈니스 크리티컬한 상황에서 조직을 신속하게 보호할 수 있습니다.

이제 영향을 받은 디바이스를 격리하고 나머지 네트워크와의 통신을 제한하는 규칙을 마련했으므로 추가 확산의 위험을 제거했습니다. 이 시점에서 격리된 디바이스를 검토하는 작업을 시작할 수 있습니다.

일루미오가 엔드포인트 탐지 및 대응(EDR) 솔루션과 비교하여 10분 이내에 랜섬웨어를 차단하는 것을 입증하는 비숍 폭스 보고서를 읽어보세요.

Illumio로 랜섬웨어 확산에 선제적으로 대응하세요.

일루미오와 같은 솔루션을 도입하면 조직은 디바이스 간에 원치 않는 트래픽이 확산되는 것을 사전에 제어할 수 있습니다. Illumio는 공격의 동서 횡방향 이동을 제한하여 탐지 및 대응 도구가 위협을 식별하는 데 필요한 시간을 확보합니다.

Illumio는 EDR, NDR, XDR, 경계 방화벽과 같은 기존 보안 도구와 함께 작동하여 사이버 복원력을 향상시킵니다.

지금 일루미오에 문의하여 전례 없는 신속한 침해 차단을 경험해 보세요.