>
연구(Insikt)

랜섬웨어의 취약점 악용 패턴 및 대상: 2017–2023년

게시일: 2024년 2월 8일
작성자: Insikt Group®

insikt-group-logo-updated-3-300x48.png

Insikt의 최근 연구는 지난 6년간의 랜섬웨어 및 취약성 동향을 분석하고 향후 예상되는 문제에 대한 인사이트를 제공합니다.

랜섬웨어 단체가 악용하는 취약점은 소수의 단체가 노리는 취약점과 여러 단체가 광범위하게 악용하는 취약점의 두 가지 범주로 분류됩니다. 각 범주에는 각기 다른 방어 전략이 필요합니다. 특정 취약점을 표적으로 삼는 단체는 특정 패턴을 따르는 경향이 있으며, 이를 통해 기업은 방어와 감사의 우선순위를 정할 수 있습니다. 고유한 악용을 방어하려면 가능성 있는 표적과 취약점 유형을 이해하는 것이 중요합니다.

지난 5년간 취약점 악용과 관련된 랜섬웨어 단체의 수를 보여주는 다이어그램 지난 5년간 취약점 악용과 관련된 랜섬웨어 그룹의 수를 보여주는 다이어그램. 예를 들어, '한 그룹'이란 취약점을 악용한 것으로 보고된 그룹이 한 그룹에 불과하다는 의미입니다(출처: Recorded Future).

널리 악용되는 취약점은 일반적으로 사용되는 기업용 소프트웨어에서 발견되며 침투 테스트 모듈과 같은 다양한 수단을 통해 쉽게 악용됩니다. 랜섬웨어 운영자들이 가장 많이 노리는 취약점은 침투 테스트 모듈이나 코드 한 줄을 통해 모두 쉽게 악용될 수 있습니다. 이러한 악용을 방어하려면 즉시 취약점 패치를 적용하고, 개념 증명을 위해 보안 연구를 모니터링하고, 특정 취약점이 아닌 기술 스택 구성 요소에 대한 참조를 찾기 위해 범죄 포럼을 관찰해야 합니다.

일부 랜섬웨어 단체 는 세 가지 이상의 취약점을 악용하는 데 중점을 두어 방어자에게 명확한 표적 패턴을 제공합니다. 예를 들어, CL0P는 Accellion, SolarWinds, MOVEit의 파일 전송 소프트웨어를 표적으로 삼았습니다. 표적이 되는 대부분의 취약점은 널리 사용되는 기업용 소프트웨어에 있으며 쉽게 악용될 수 있습니다. 고유한 벡터를 필요로 하는 취약점은 일반적으로 소수의 단체만이 악용합니다.

취약점의 상위 범주를 검토한 결과, 취약점이 한 단체에 의해서만 악용되는 경우 맞춤형 패키지(예: 압축 파일 또는 애플리케이션 데이터)가 필요하며 단순히 코드 몇 줄을 통해 악용될 수 없는 것으로 확인되었습니다.

랜섬웨어 공격에 악용된 모든 취약점 중에서 가장 많은 수의 개별 랜섬웨어 위협 행위자들이 악용한 5가지 취약점이 위협 행위자들로부터 가장 많은 관심을 받는 것으로 나타났습니다. 이러한 취약점은 ProxyShel, ZeroLogon, Log4Shell, CVE-2021-34527(Exchange, Netlogon, Print Spooler 등 Microsoft 엔터프라이즈 제품에 영향을 줌), CVE-2019-19781(Citrix 소프트웨어에 영향을 줌)입니다. Microsoft가 가장 두드러지는 것은 놀라운 일이 아닙니다. 이전 보고서에서 확인했듯이 3개 이상의 단체가 악용한 취약점의 약 55%가 Microsoft 제품에서 발생할 정도로 Microsoft는 제로데이 악용 및 전반적인 랜섬웨어의 영향을 가장 많이 받는 공급업체입니다.

상위 5개의 취약점은 시스템 액세스 또는 제어 측면에서 영향력이 크고 영향을 받는 소프트웨어가 널리 보급되었다는 특성 때문에 일단 공개되면 더 넓은 위협 환경에서 많이 이용되었습니다. 예를 들어, 국가 배후 단체 및 랜섬웨어를 사용하지 않는 기타 사이버 범죄자들이 침입 작전의 일환으로 이러한 취약점을 노리는 것이 반복적으로 관찰되었습니다.

랜섬웨어 운영자와 제휴사는 특정 취약점에 대해 거의 논의하지 않지만, 광범위한 사이버 범죄 에코시스템은 공개적으로 알려진 취약점과 잠재적 악용 표적을 파악하고 논의합니다.

완화 전략

위의 조사 결과와 평가를 기반으로 할 때 랜섬웨어 운영자의 취약점 악용에 가장 효과적인 방어 방법은 다음과 같습니다.

  • 필요한 경우가 아니라면, 장치와 네트워크가 HTTP/S를 통해 들어오는 요청을 수신할 수 없도록 합니다. 랜섬웨어가 취약점을 대량으로 악용한 사례를 보면, HTTP/S 요청을 수신할 수 있는 장치에 대해 몇 줄의 코드를 통해 악용할 수 있는 심각한 취약점을 분명히 선호하는 것을 알 수 있습니다. 특히 경로 통과 취약점의 경우 이러한 현상이 더욱 두드러지는 것으로 나타났습니다.
  • 보안 연구원 자료, 블로그, 코드 리포지토리에서 HTTP/S 요청을 기반으로 하는 간단한 악용 구문에 대한 언급이 있는지 모니터링합니다. 이 정보는 공개적으로 액세스 가능한 상태를 유지해야 하는 장치에 대한 악용 시도 탐지를 설정하는 데 이용할 수 있습니다.
  • 우려되는 랜섬웨어 단체에 대해서는, 해당 단체가 고유하게 표적으로 삼는 취약점이 있는지 여부 및 취약점 위치를 파악하여 제품 및 취약점 유형 측면에서 가장 가능성이 높은 표적의 프로필을 구축합니다.
  • 널리 악용되는 중요 취약점에 대해 최대한 빠르게 패치를 적용합니다. 체류 시간 통계에 따르면 랜섬웨어 단체는 취약점 공개 후 3년 동안 피해자의 취약한 인프라를 악용할 수 있는 것으로 나타났습니다.
  • 범죄 포럼 모니터링은 특정 취약점에 대한 랜섬웨어 단체의 관심을 파악하는 데 신뢰할 수 있는 방법이 아닙니다. 랜섬웨어 단체는 이러한 취약점에 대해 거의 논의하지 않기 때문입니다. 또한, 범죄자들은 보통 악용이 발생한 후에야 CVE 식별자에 대해 언급하므로 범죄자가 CVE 식별자에 대해 언급했다는 알림에 의존하지 않아야 합니다. 대신, 우려되는 공급업체 및 제품에 대해 범죄 관련 논의가 있는지 모니터링합니다.

2024년을 전망할 때 생성형 AI의 발전은 사이버 범죄자의 기술 장벽을 낮추어 더 많은 제로데이 취약점 악용을 용이하게 할 수 있습니다. 이전에는 랜섬웨어 위협으로부터 자유로웠던 Google 및 Apple과 같은 주요 공급업체가 랜섬웨어 캠페인의 표적이 될 수 있습니다. 또한, 암호화폐 가치가 반등할 경우 강탈 단체의 초점이 취약점 연구에서 암호화폐 지갑 도난으로 이동할 수 있습니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

참고: 이 보고서 요약은 2024년 2월 8일에 처음 발행되었으며 2024년 10월 30일에 업데이트되었습니다. 초기 분석 및 결과는 변경되지 않았습니다.

관련