2021년 멀웨어 및 TTP 위협 환경

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

연례 위협 보고서는 2021년의 위협 환경을 조사하고 Recorded Future의 위협 연구팀인 Insikt Group이 산출한 1년간의 인텔리전스를 요약한 것입니다. 이는 언론 매체와 같은 오픈 소스, 다른 보안 그룹의 공개적으로 이용 가능한 연구뿐만 아니라 지하 범죄의 비공개 소스를 포함하는 Recorded Future 플랫폼의 데이터를 활용하여 2021년의 글로벌 동향, 멀웨어 동향 및 주요 동향 전술, 기술 및 절차(TTP)를 분석합니다. 이 보고서는 2021년 사이버 위협 환경에 대한 광범위하고 전체적인 관점을 원하는 모든 사람에게 흥미로울 것입니다.

Executive Summary

2021년 내내 대규모 파괴적인 공격과 지속적인 도구 개발로 인해 랜섬웨어 관련 위협은 보안 팀의 우선순위 목록에서 가장 중요한 위치를 차지했습니다. 랜섬웨어는 전 세계적으로 여러 산업 분야의 조직에 대한 주요 위협으로 자리 잡았습니다. 2019년 말과 2020년 내내 랜섬웨어는 대규모 조직을 겨냥한 '대어급 사냥'을 노리는 주요 위협으로 부상했습니다. 그러나 2020년과 2021년에 걸쳐 랜섬웨어는 상품화된 시장으로 진화하여 랜섬웨어 운영자가 증가하고 공격이 더욱 광범위하게 이루어졌습니다. 위협 행위자들은 숙련된 개인을 고용하여 랜섬웨어의 기능을 개발하고, 계열사에 랜섬웨어를 대여하고, 초기 액세스 브로커로부터 피해 조직의 네트워크에 대한 액세스 권한을 구매했습니다. 2021년에도 랜섬웨어는 사이버 범죄 세계에서 성공적인 비즈니스를 이어갔으며, 가장 많은 랜섬웨어를 배포한 랜섬웨어는 Conti와 LockBit이 차지했습니다.

랜섬웨어 그룹은 2020년 내내 시스템에 대한 액세스를 잠그는 것은 물론, 몸값을 지불하지 않으면 훔친 데이터를 유출하거나 판매하겠다고 협박하여 피해자에게 몸값을 지불하도록 추가적인 압박을 가하는 '이중 강탈'에 의존했습니다. 2021년, 위협 공격자들은 전술을 바꾸고 '삼중 갈취' 기법을 구현했습니다. 여기에는 내부자를 모집하여 기업 네트워크를 침해하고, 피해자의 고객에게 연락하여 몸값을 요구하고, 분산 서비스 거부(DDoS) 공격으로 랜섬웨어 피해자를 위협하고, 공급망과 관리 서비스 제공업체를 표적으로 삼아 공격의 효과를 증폭시키는 행위가 포함됩니다. 또한 일부 랜섬웨어 그룹은 Linux 시스템을 표적으로 삼기 시작했으며 빠른 취약점 악용과 제로데이 취약점을 무기고에 추가했습니다.

2021년에는 인증 정보 도용을 위한 다크 웹 시장이 매우 성공적이었으며, 랜섬웨어 공격자들이 공격의 초기 액세스를 위해 손상된 인증 정보를 사용하는 경우가 많기 때문에 랜섬웨어 공격에도 기여했습니다. 유출된 인증정보는 인포스틸러를 통해 정기적으로 도용되어 다크웹 상점에서 광고되고 있습니다. 이렇게 노출된 비밀번호는 기업 자격 증명이 침해된 로그에 포함되거나 직원이 개인 계정과 업무용 계정에서 비밀번호를 재사용할 때 네트워크를 위험에 빠뜨립니다.

랜섬웨어와 함께 코발트 스트라이크와 같은 멀웨어 및 악성 도구는 설치 시 탐지하기 더 어렵고 더 위험해지도록 진화했습니다. 특히 2021년 말에 발견된 최악의 보안 결함 중 하나로 널리 알려진 Log4Shell이 공개되면서 멀웨어 공격에서 취약점이 빠르게 악용되는 추세가 지속되는 것을 목격했습니다.

마지막으로 인싯트 그룹은 2021년에 가장 많이 사용된 MITRE ATT&CK TTP를 조사하여 상위 5가지 기술을 확인했습니다: T1486(영향을 받기 위해 암호화된 데이터), T1082(시스템 정보 검색), T1055(프로세스 주입), T1027(난독화된 파일 또는 정보), T1005(로컬 시스템에서 데이터).

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.