랜섬웨어 공격 증가의 핵심은 초기 접속 브로커입니다.

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 내용입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 사이버 범죄자들이 다크웹과 특수 액세스 소스에서 네트워크를 손상시키고 인포스틸러 멀웨어를 배포하고 유효한 인증 정보를 얻기 위해 사용하는 전술, 기술 및 절차(TTP)에 대한 개요를 제공합니다. "초기 액세스 브로커"라고 불리는 이러한 위협 행위자는 랜섬웨어 공격의 상당수를 가능하게 하는 사이버 범죄 조직 내 전문 산업을 대표합니다. 이 보고서에는 Recorded Future®플랫폼, 다크웹 소스, 오픈소스 인텔리전스(OSINT) 기법을 사용하여 수집한 정보가 포함되어 있습니다. 다음은 랜섬웨어 공격을 가능하게 하는 일련의 이벤트에 대한 개략적인 요약입니다. 이 문서는 비기술적인 배경이나 역할을 가진 사이버 보안 전문가를 위한 개요를 제공하기 위한 것입니다.

Executive Summary

위협 행위자는 인포스틸러 멀웨어 감염, 다크 웹 및 특수 액세스 포럼의 초기 액세스 중개 서비스, 다크 웹 상점 및 마켓플레이스에서 인포스틸러 로그 구매를 통해 네트워크에 대한 초기 액세스 권한을 얻을 수 있습니다. 피싱, 스피어피싱, 코드 인젝션과 같은 다른 공격 벡터도 다크웹과 특수 액세스 포럼에서 흔히 볼 수 있지만, 유출된 인증정보 판매에 비해 즉각적인 효과는 훨씬 덜 공개적이고 눈에 띄지 않는 경우가 많습니다. 블랙매터와 콘티를 예로 들어 초기 액세스부터 랜섬웨어 배포까지 공격 실행에서 인증정보 액세스의 역할을 살펴봅니다. 인증정보 유출, 인포스틸러 멀웨어 감염, 랜섬웨어 공격에 대한 완화 조치와 이러한 도구의 미래 및 더 큰 랜섬웨어 위협 환경에 대한 평가를 제공합니다.

주요 판단

• 랜섬웨어 공격을 성공적으로 수행하려면 위협 공격자는 손상된 네트워크에 원격으로 액세스해야 합니다. 위협 행위자가 액세스 권한을 얻는 가장 일반적인 방법은 손상된 유효한 인증 정보 쌍을 사용하는 것으로, 주로 인포스틸러 멀웨어를 통해 획득하고 다크 웹 및 특수 액세스 소스에서 판매합니다.
• 유출된 인증 정보는 종종 다크 웹과 특별 액세스 포럼 및 상점에서 랜섬웨어 계열사에 판매되며, 이들은 이러한 액세스 권한을 사용하여 시스템을 측면 이동하고 권한을 상승시키며 멀웨어 로더를 사용하여 랜섬웨어를 배포합니다.

배경

위협 행위자는 멀웨어 로더 배포, 데이터 유출 또는 스파이 캠페인과 같은 성공적인 공격을 수행하기 위해 손상된 네트워크에 원격으로 액세스해야 합니다. 다크 웹과 특수 액세스 포럼에서 종종 판매되는 이러한 손상된 액세스 방법은 '초기 액세스 브로커(IAB)'라고 불리는 전문 위협 행위자의 소행입니다. IAB는 인포스틸러 멀웨어의 성공적인 배포, 다크 웹 상점에서 인포스틸러 '로그' 또는 '봇' 구매, 크리덴셜 스터핑, 중간자 공격, 피싱, 원격 데스크톱 프로토콜(RDP) '무차별 추측' 등을 통해 유효한 인증정보 쌍 및 세션 쿠키를 획득하는 등 여러 도구와 TTP를 사용하여 이러한 액세스 권한을 확보합니다.

최상위 다크 웹과 익스플로잇 및 XSS와 같은 특수 액세스 소스에서 판매 또는 경매에 등장하는 가장 일반적인 자격 증명 쌍은 기업 가상 사설망(VPN), RDP 서비스, Citrix 게이트웨이, 웹 애플리케이션 및 콘텐츠 관리 시스템(CMS), 기업 웹메일 서버(비즈니스 이메일 침해 또는 BEC)용입니다. 덜 일반적이지만 더 많이 찾는 취약점으로는 ESXi 루트 및 AD(Active Directory) 액세스 방법, 제로데이 및 n-day 취약점, 코드 인젝션 지점(HTML, SQL) 등이 있습니다. 이 보고서에서는 초기 액세스 브로커가 손상된 액세스 방법을 입수하여 다크 웹 및 특수 액세스 소스에 판매하는 일반적인 프로세스와 이러한 방법을 사용하여 랜섬웨어 공격을 성공적으로 수행하는 방법에 대해 설명합니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.