REvil 차단: 가장 많은 랜섬웨어 그룹 중 하나를 방해하는 일루미오의 방법

랜섬웨어 그룹은 수시로 등장하고 사라집니다. 하지만 REvil의 이름을 아는 사람은 거의 없습니다. 소디노키비라고도 알려진 이 그룹과 그 계열사는 지난 12~18개월 동안 가장 대담한 침해 사고에 대한 책임이 있습니다. 여기에는 유명 로펌과 육류 가공 대기업에 대한 공격이 포함되며, 공격자들은 1,100만 달러의 수익을 얻었습니다. 다른 주목할 만한 캠페인으로는 IT 소프트웨어 회사인 카세야에 대한 정교한 공격과 대만 제조업체이자 애플 고객사인 콴타 컴퓨터의보안 침해가 있습니다.

후자의 두 사람은 각각 7천만 달러와 5천만 달러라는 터무니없는 몸값을 요구한 것으로 유명합니다. 또한 각기 다른 방식으로 글로벌 공급망을 활용하여 목표를 달성했기 때문입니다.

최근 레 블은 체포와 제재로 인해 운영이 중단되었지만, 그룹은 계속 운영되고 있는 것으로 알려졌습니다. 좋은 소식은 위험도가 높은 네트워크 연결을 매핑, 모니터링, 차단하는 Illumio를 사용하면 REvil 위협을 완화할 수 있으며, 이 그룹이 궁극적으로 사라질 경우 어떤 반복적인 위협도 완화할 수 있다는 것입니다.

공급망 공격이 위험한 이유는 무엇인가요?

공급망에 대한 랜섬웨어 공격은 상호 연결된 비즈니스의 전체 네트워크를 중단시킬 수 있기 때문에 위험합니다. 이러한 공격으로 인해 생산이 중단되고 배송이 지연되며 상당한 금전적 손실이 발생할 수 있습니다.

또한 데이터 유출로 이어져 여러 조직에 걸쳐 민감한 정보가 노출되어 신뢰가 훼손되고 평판이 손상될 수 있습니다.

공급망 내 상호의존성은 한 기업에 대한 공격이 다른 많은 기업에 영향을 미치고 잠재적으로 광범위한 경제적 결과를 초래할 수 있는 연쇄적인 영향을 미칠 수 있음을 의미합니다.

2021년 4월 콴타 컴퓨터에 대한 공격은 영리했습니다. Apple의 주요 계약 제조 파트너로서 매우 민감한 청사진과 제품 IP에 액세스할 수 있습니다. 또한, 레블은 쿠퍼티노의 거대 기술 기업보다 보안이 취약할 수 있다고 계산했습니다.

콴타가 지불을 거부하자 이 그룹은 Apple을 찾아가 몸값을 요구했고, 그렇지 않으면 훔친 문서를 유출하거나 판매하겠다고 협박했습니다. 보고서에 따르면 공격이 성공했는지는 알 수 없지만, 이후 REvil 유출 사이트에서는 공격과 관련된 모든 데이터가 삭제되었습니다.

이 사건은 우리에게 무엇을 알려주나요? 첫째, 조직이 고가치 파트너와 거래하는 경우 랜섬웨어/레블의표적이 될 수 있습니다. 둘째, 보안이 가장 취약한 공급업체만큼만 안전할 수 있습니다.

REvil은 어떻게 작동하나요?

콴타 공격 자체에는 몇 가지 독특한 요소가 포함되어 있습니다. 하지만 취약한 외부 소프트웨어나 서비스를 악용하는 광범위한 패턴은 수많은 캠페인에서 사용되어 왔습니다. 

이 경우 REvil은 오라클 웹로직 소프트웨어의 취약점을 표적으로 삼았습니다. 이를 통해 위협 행위자는 사용자 조치 없이도 손상된 서버가 멀웨어를 강제로 다운로드하고 실행할 수 있었습니다. 크게 두 가지 단계로 진행되었습니다:

1. 공격자는 패치가 적용되지 않은 웹로직 서버에 HTTP로 연결한 다음 강제로 소디노키비 랜섬웨어 변종을 다운로드하도록 했습니다. PowerShell 명령을 사용하여 "radm.exe"라는 파일을 다운로드했습니다. 를 악성 IP 주소로부터 전송한 다음 서버가 파일을 로컬에 저장하고 강제로 실행하도록 합니다.
2. 공격자는 사용자 디렉토리에 있는 데이터를 암호화하고 Windows가 자동으로 생성하는 암호화된 데이터의 '섀도 복사본'을 삭제하여 데이터 복구를 방해하려고 시도했습니다.

REvil을 어떻게 막을 수 있나요?

고위험 엔드포인트의 신속한 패치 적용과 같은 사이버 위생을 잘 관리하면 조직의 공격 표면을 줄이는 데 도움이 될 수 있습니다. 하지만 이 외에도 네트워크 수준에서 보다 포괄적인 조치를 취할 수 있습니다.

조직은 신뢰할 수 있는 채널과 타사 소프트웨어도 멀웨어와 랜섬웨어의 통로가 될 수 있다는 점을 이해해야 합니다. 이러한 위험을 완화하려면 엔드포인트 탐지 및 대응(EDR) 및 확장 탐지 및 대응(XDR)과 같은 보안 도구, 특히 상용 솔루션을 나머지 환경과 분리해야 합니다.

또한 기업은 필수적이지 않은 아웃바운드 연결을 식별하고 제한하는 것도 고려해야 합니다. 즉, 포트 80 및 443을 포함하여 승인된 대상 IP로의 통신을 제외한 모든 통신을 차단합니다. 이렇게 하면 공격을 진행하기 위한 추가 툴을 다운로드하기 위해 명령 및 제어(C&C) 서버로 '홈 호출'을 시도하는 위협 행위자를 방해할 수 있습니다. 또한 조직 외부의 데이터를 조직이 통제하는 서버로 유출하려는 시도도 차단합니다.

일루미오의 지원 방법

Illumio의 고급 제로 트러스트 세분화 기술은 간편하고 확장 가능한 정책 관리를 제공하여 중요 자산을 보호하고 랜섬웨어를 격리합니다. Illumio는 보안 팀이 커뮤니케이션 흐름과 고위험 경로에 대한 가시성을 확보할 수 있도록 지원합니다. 그런 다음 워크로드 수준까지 완전한 세분화 제어를 적용하여 공격 표면을 대폭 줄이고 랜섬웨어의 영향을 최소화합니다.

간단한 3단계로 Illumio는 REvil과 같은 랜섬웨어로부터 조직을 보호할 수 있습니다:

1. 모든 필수 및 비필수 아웃바운드 커뮤니케이션을 매핑하세요.
2. 대규모 통신을 제한하는 정책을 신속하게 배포하세요.
3. 닫을 수 없는 아웃바운드 연결을 모니터링하세요.
    

랜섬웨어에 대한 복원력 구축에 대한 모범 사례 지침을 자세히 알아보세요:

• 랜섬웨어 공격을 막는 방법전자책 읽기
• 인포그래픽, 랜섬웨어를 차단하는 3단계다운로드하기
• 일루미오 체험 실습 랩에 등록하여 일루미오의 위험 기반 가시성과 제로 트러스트 세분화 기능을 직접 확인해 보세요.