사이버 공격의 거의 70%는 두 번째 피해자를 목표로 하지 해킹된 웹사이트의 소유주를 목표로 하지 않습니다. (통신회사 베리존의 연간 보고서인, 2015 데이터 누출 조사보고서)

해커들은 웹사이트를 해킹한 다음 방문자들에게 멀웨어를 제공하면서 그들의 진짜 목표물이 감염되기를 기다립니다.

해커들은 웹사이트의 소유주에게는 관심이 없으며 소유주를 이용해 진짜 공격을 하고 복잡하게 만들어 데이터 누출을 하려고 한다고 이 보고서는 언급하고 있습니다.

스파이 행위를 기획해서 하는 것이 아니라 우발적으로 감염된 서버로부터 시작하게 된 대부분의 공격들은DoS 공격에 참여하거나 멀웨어를 공급하거나 또는 피싱 사이트로 다시 이용되거나 하게 됩니다.

데이터 누출을 조사하는 베리존 RISK팀의 대표 브라이언 사틴의 말을 인용한 월스트리트 저널 블로그에 따르면 “보안에 관해 잘 알고 있으며 교육도 받지만 피싱 이메일을 받은 사람 중 23%가 여전히 이메일을 열어보며” 11%가 첨부를 클릭한다고 합니다. 이 보고서에 따르면, 피싱 수법이 일단 먹히기만 하면 회사의 외곽 방어막을 우회하는 데는 채 몇 분이 걸리지 않는다고 합니다.

이 보고서는 2,100개의 확인된 데이터 누출 건과 대략 80,000 개의 보안 사고를 분석했습니다. 이 보고서가 다룬 내용들은 10여 년 동안 발생한 8,000 건의 데이터 누출과 거의 195,000 건에 달하는 보안 사고였습니다.

State of Internet의 2015년 1분기 자료에 의하면, 중국이 DDoS 공격의 최대 진원지로 떠올랐습니다. 다음으로 많은 나라가 독일이며 그 다음은 미국이었습니다. (클라우드 서비스 제공업체 Akamai의 보안 보고서)

중국이 전세계 DDoS 공격의 23.45%를 차지하고 있습니다. 인터넷으로 연결된 호스트의 서비스를 방해하여 사용자에 대해 서버가 역할을 하지 못하도록 하는 악의적인 시도인 DDoS 공격은 17.39%가 독일로부터 12.18%가 미국으로부터 발생하고 있습니다. 연구원들에 의하면 아시아로부터의 리다이렉션 트래픽의 증가 때문이라도 하더라도, 중국발 DDoS는 공격하는 진원지의 IP 숫자에서 미국에 비해 66%가 증가했습니다.

2014년 4분기에는 DDoS 공격 진원지의 32%가 미국이었고 중국은 18%였습니다. 이들 나라로부터의 공격 점유율이 떨어졌다고 해서 공격이 감소했다고 의미는 아니고, 전세계적으로 DDoS 공격이 만연한 상황에서 각 나라가 차지하는 비율만이 변했다는 의미입니다.

DDoS 공격은 매분기마다 117%가 증가했으며 분기대비 35%기 증가했습니다. 보고서에 따르면, Prolexic 네트워크를 통해 분석해본 결과, 이번 분기가 DDoS 공격의 최고 기록이었으며 공격 지속시간은 2014년 1분기에 비해 43%가 더 길어졌습니다.

웹 애플리케이션 공격의 진원지 국가들 순위에서 미국은 공격 IP 진원지의 52%를 차지해 1위를 차지했으며 그 다음은 11%로 중국이, 다음은 6%로 브라질이 차지했습니다.

소매, 언론/연예 그리고 호텔/여행업이 2015년 1분기 웹 애플리케이션 공격의 주요한 목표 산업이었습니다. 이것은 이전에 금융서비스 업계에 대한 공격 때문에 보안 정책을 강화한 결과입니다. 반면, 소매업과 언론계에 대한 공격과 2014년의 누출 행위들은 이 산업 분야가 더 연약한 목표라는 신호를 주어 해커들로 하여금 취약한 부분을 더듬어보게 만들었습니다.

hotforsecurity.com의 보도에 의하면, 지난 주에 중국 정부는 미국과의 사이버 대결의 일환으로 5개년 사이버 보안 프로그램을 도입한다고 발표했습니다.

비트디펜더가 Google Play에서 공격적인 애드웨어를 장착한 앱 10개를 발견했는데 이 애드웨어들은 스케어웨어 메시지를 이용하여 프리미엄 번호에 사용자를 가입시키거나 훨씬 더 많은 광고를 집어넣은 추가 앱들을 설치하도록 합니다.

이런 앱들(“What is my ip?”) 앱을 포함해 아직도Google Play에 올라와 있음)은 한 번 설치가 되면 사용자가 찾아내서 삭제하기 무척 어렵게 하도록 다른 이름을 사용하도록 설계되었습니다.

설치되고 나면, “System Manager”라는 바로가기를 만듭니다. 브라우저가 다른 데로 가버리고 스케어웨어 메시지의 원인이 이런 종류의 앱이라는 것을 알아챈다 하더라도 Application Manager 메뉴에서 찾아서 삭제하는 것이 쉽지 않은데 이상한 새로운 이름으로 숨어 있지 예를 들면, “What is my ip?” 이렇게는 숨어 있지 않기 때문입니다. IT 기술 지식이 적은 사람이라면 지쳐 나가떨어질 것이고 앱은 계속 남아서 영원히 작동할 것입니다.

이런 앱들이 구글의 검열에서 벗어나는 이유는 아마 사용자들을 다른 데로 보내는데 사용하는 URL이 악성 .apk 파일을 퍼뜨리지 않기 때문일 겁니다. 이 앱들의 목적은 브라우저(안드로이드 네이티브 브라우저, 크롬, 파이어팍스, 페이스북 또는 타이니브라우저)에서 특별히 만들어진 URL로 보내서 이 광고 사이트에서 또 다른 광고 사이트로 사용자들을 계속 옮겨 다니게 하는 것입니다.

프리미엄 번호에 가입하게(보안을 강화하기 위한 목적으로 위장하여) 하거나 아니면 시스템이나 성능 업데이트를 가장하여 더 많은 애드웨어를 설치하도록 속임수를 쓰는 지극히 사용자 지역에 맞는 광고를 보여주는 웹페이지(http://www.mobilsitelerim.com/anasayfa)로 사용자를 리다이렉션 시킵니다.

이런 악의적인 앱들은 두 가지 승인(네트워크 통신과 시스템 툴)을 필요로 하지만 여전히 골칫거리이며 사용자들을 유혹해 디바이스-잠금 앱과 애드웨어를 다운로드하게 합니다.

그 자체가 악의적인 것은 아닐지라도 제 3자에게 민감한 사용자 정보를 공개함으로써 컴퓨터에서 발견되는 공격적인 애드웨어와 닮아 있습니다. 팝업, 리다이렉션 광고를 막는 것은 사용자들을 짜증나게 하고 안드로 이드 기기의 성능에 심각한 손상을 줍니다.

지난 수 년간 앱속의 광고와 애드웨어 SDK에서 시작해 브라우저 리다이렉션과 합법적인 이름을 가장하고 스타트업에서 은밀하게 동작하는 앱으로까지 공격적인 애드웨어는 위험한 속도로 발전해 왔습니다.

이 글을 쓰는 순간에도 일부 앱들은 여전히Google Play에 올라와 있습니다. 우리가 탐지한 것으로Android.Trojan.HiddenApp.E이 있습니다. 그래서 여러분 모두에게 강력히 권하는데 보안솔루션을 설치해서 멀웨어와 공격적인 애드웨어를 탐지해내고 여러분의 안드로이드 기기에서 퇴출시키도록 하십시오.

Samples md5:

f2d57300d5f991dbc965ac092d5f4301 - com.alm.alm
c1d7afa5c4eb0b8e3c0292eadf98771e - com.tr.dum.dum
16967bea7d3dcb08c12220925ef6f030 - com.est.hk
cb9d3ff0eea162dd602eefe7b08ded49 - com.est.esteban
dbc99ba3241f943cc9e58870f0e40b34 - com.brer.brer
51bc232de9af3f34a58d824da86a70bc - com.tr.ipp
996c4a1525729466d87edf85cbbdf5de - com.who.myip.detect
6f37bd3c286440e37103ee8b67aca7d6 - com.tf.fed
47b863625a8022399247fc92c4d5d178 - com.esc.escd
e1ccb51569635415e66af16cbdd94ddc - com.esc.escde

이 글은 비트디펜더 연구원인 알린 바바타이의 기술 문서에 근거해 작성되었습니다. 

지금까지 랜섬웨어로부터 탈출할 수 있는 방법은 없습니다. 특히나 모바일 기기를 대상으로 하는 스마트폰 또는 태블릿 PC를 외부에서 잠궈 버리는 위협처럼 말이죠. Koler를 기억하시나요? 불행하게도 공격자와 복잡한 감염 워크플로우 간의 암호와 통신 방식은 기존 보안 솔루션의 전통적인 탐지 기법으로는 랜섬웨어 공격에 대한 차단을 어렵게 만들고 있습니다. 

감염을 방지하는 방법

사용자가 몸값을 지불하지 않고 암호 해독 키 검색을 방지하는 기술적 제한으로 인해, 랜섬웨어의 영향으로부터 벗어날 수 있는 가장 좋은 방법은 처음부터 감염되지 않는 것 입니다.



 

사용자 권고사항

1. 클라우드 또는 외부 저장 장치를 통해 정기적으로 데이터를 백업하시기 바랍니다. 백업은 PC내의 다른 파티션에 해서는 안되며, 백업이 진행되는 시간 동안만 외장하드나 USB등 외부저장 장치를 PC에 연결할 것을 권장합니다.





2. UAC 기능을 활성화 하십시오. UAC는 관리자 권한이 필요한 상황이 발생할 때 사용자에게 알려줍니다.




3. 안티 익스플로잇 기능이 포함된 안티 멀웨어 솔루션 사용을 권장하며, 최신 업데이트를 유지하고 안티 멀웨어 및 안티 스팸 모듈의 실시간 감시 기능을 활성화 하십시오. 정기적인 업데이트가 사용자 PC 보안 환경을 최적화 해주지는 않습니다.   

4. 모바일 기기 보안 환경에 익숙치 않다면, 신뢰할 수 없는 앱 스토어 또는 마켓에서는 어플리케이션들을 다운로드 하지 마십시오. 신뢰할 수 있는 마켓을 통해서만 모바일 위협을 방지할 수 있는 솔루션을 다운로드 하고 설치하시기 바랍니다.

5. 인터넷 사용의 좋은 사례를 따르십시오. 의심스러운 웹 사이트 방문하지 않기, 불확실한 출처의 이메일 첨부파일 또는 링크 클릭하지 않기, 브라우저 확장 기능 중 자바스크립트 실행이 안 되도록 설정해두는 것이 좋습니다.

6. 악성 광고 노출을 줄이기 위해 온라인 광고 차단 툴을 사용하고 활성화하십시오.

7. 악의적인 코드가 담긴 이메일 수신을 줄이기 위해 스팸 필터링을 활성화 하십시오.

8. 가능하면 플래쉬 동작을 완전히 비활성화하거나 가상화 환경을 사용하시기 바랍니다. 플래쉬는 지금까지 랜섬웨어의 감염 벡터로 반복되어 사용됐습니다. 부득이 사용해야 한다면, 최신 버전으로 업데이트하시기 바랍니다. 특히 최근 유행하고 있는 CryptXXX의 경우, 플래쉬 플레이어의 취약점을 이용하므로 반드시 최신 버전으로 업데이트하시기 바랍니다.

9. 웹 브라우저의 보안 설정 레벨을 높게 하여 온라인의 보호 수준을 증가시키십시오.

10. 윈도우 운영체제 및 취약한 소프트웨어, 특히 브라우저 및 브라우저 플러그인 관련 보안 패치 상태를 최신으로 업데이트하고 유지하시기 바랍니다. 익스플로잇 킷은 이런 컴포넌트의 취약점을 악용하여 자동으로 악성코드가 설치되도록 유도합니다.
 
랜섬웨어는 기업의 성장에 악영향을 미치며, 특히 BYOD/BYOA 트렌드에 따라 직원들이 때로는 회사의 악영향을 주는 링크 역할을 하기도 합니다. 하지만, 그들을 의심하기 보단 회사에서 할 수 있는 필요한 모든 보안 조치를 취해야합니다. 만약 당신이 IT팀의 보안 정책을 총괄할 수 있는 의사결정권이 있는 책임자라면 다음의 사항들을 고려할 필요가 있습니다.

회사 차원에서의 권고 사항

1.     사회 공학적 기법 및 스피어 피싱 이메일 사례 등을 통해 올바른 컴퓨터 사용법을 직원들에게 교육합니다.

2.     엔드포인트 보안 솔루션을 설치하고 고급화된 정책 및 유지보수를 수행합니다.

3.     특정 위치로부터 실행되는 프로그램을 차단하고 및 소프트웨어 제한 정책을 사용합니다.

4.     방화벽 사용을 통해 공개해서는 안되는 서비스들이  인터넷에서 들어오는 모든 연결을 차단합니다.

5.     사용자가 작업을 완료하는데 필요한 권한이 최저 수준인지 확인하고 관리자 패스워드 또는 UAC 권한 요청이 있을때 관리자 레벨에서 실행되어야 하는 합법적인 응용 프로그램인지 확인합니다.

6.     시스템 복원 기능이 활성화 되어 있는 경우 바이러스로 탐지되어 제거된 파일이 암호화 되기 이전의 파일로 복원될 수도 있습니다.

그래도 만약에 감여 되었다면…

절대 몸값을 지불하지 마십시오. 비용 지불로 당신은 사이버 범죄를 지원하는 것이 될 수도 있습니다.

랜섬웨어 피해가 의심되지만 랜섬웨어의 몸값 지불 화면을 보지 못했다면 네트워크 연결을 분리하시기 바랍니다. 기기를 셧다운하고 안전모드로 재부팅하여 암호화 프로세스를 찾아 삭제하는 것은 좋은 방법이 될 수도 있습니다. 특정 위협을 대상으로 보안 회사에서 무료로 배포하는 랜섬웨어 제거 도구 (the removal tools)에 대한 검색도 잊지 마시기 바랍니다.  

비트디펜더 안티 랜섬웨어
(무료:최근 유행하는 랜섬웨어로부터 보호합니다. 다른 백신 솔루션과 함께 설치가 가능합니다)

다운로드 링크 : http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe