이호스트ICT 공식 블로그

안티랜섬웨어 솔루션 "화이트 디펜더" 랜섬웨어 제거부터 복구까지 ONE-STOP

안티랜섬웨어 솔루션 "화이트 디펜더" 랜섬웨어 제거부터 복구까지 ONE-STOP 안녕하세요, 글로벌 통합 IT 솔루션 기업 이호스트ICT 입니다. 랜섬웨어가 전 세계적으로 기업과 개인에게 심각한 위협이 되고 있습니다. 2023년 12월에만 'LockBit' 랜섬웨어로 인한 데이터 유출 사례가 85건에 달했으며, 'Play'와 '8Base' 랜섬웨어도 각각 26건, 24건의 데이터 유출을 일으켰습니다. 미국은 12월에 발생한 데이터 유출 사례의 거의 절반인 48%를 차지했습니다. 최근 사례로는 현대삼호중공업, 의료 분야 인공지능(AI) 기업 딥노이드, 그리고 일본 최대의 항구인 나고야 항구 등이 랜섬웨어 공격을 받아 중대한 데이터 유출과 시스템 다운타임을 겪었습니다. 이러한 공격은 기업의 막대한 경제적 손..

하반기 보안업계 3대 이슈, '랜섬웨어·인공지능·사물인터넷' 통한 공격 크게 늘어날 것!' 위협헌팅 전문 보안기업 '씨큐비스타'가 사이버 보안관제센터가 주목해야 할 '2023 하반기 보안업계 3대 이슈'를 전망했다. 인공지능(AI) 및 머신러닝(ML)과 같은 혁신적인 기술을 사용하여 오늘날의 교묘한 사이버 위협으로부터 고객을 보호하는 위협헌팅 전문 보안기업 '씨큐비스타(대표 전덕조)'가 사이버 보안관제센터가 주목해야 할 '2023 하반기 보안업계 3대 이슈'를 전망, 12일 발표했다. 랜섬웨어(Ransomware) 공격의 증가 '랜섬웨어'는 20여년전 등장한 악성 프로그램으로, 여전히 기업 및 개인에게 심각한 피해를 입히고 있으며, 공격 형태와 규모가 점점 진화하고 있어, 2023년 하반기에도 계속해서 ..

□ 개요 o 최근 VMware ESXi 취약점을 이용하여 랜섬웨어가 유포되고 있으므로 기업 담당자들의 철저한 사전 보안 점검 및 대비 필요[1] o 취약한 버전을 사용하는 VMware ESXi 제품 사용자는 최신버전으로 업데이트 권고 □ 설명 o VMware ESXi의 OpenSLP에서 발생하는 원격코드실행 취약점(CVE-2021-21974) [2] □ 영향받는 제품 및 해결 버전 제품명 영향받는 버전 해결버전 ESXi 6.5 (ESXi650-202102101-SG 이전 버전) ESXi650-202102101-SG 이후 버전 6.7 (ESXi670-202102401-SG 이전 버전) ESXi670-202102401-SG 이후 버전 7.0 (ESXi70U1c-17325551 이전 버전) ESXi70U1c-..

악명 떨쳤던 랜섬웨어 '매그니베르'가 다시 나타났다 [서울=뉴시스]송종호 기자 = # 서울에서 중소 무역업을 하는 A씨는 ‘코로나19로 인한 화물 지연’이라는 문서를 받았다. 무심코 첨부파일을 내려받은 A씨는 곧 데스크탑 컴퓨터가 먹통이 되는 피해를 입었다. A씨는 공격자의 요구사항이 적힌 랜섬노트가 모니터에 뜨고서야 자신이 랜섬웨어 공격을 받았다는 사실을 깨달았다. A씨는 “요새 코로나가 재확산 추세라는 것을 알고 있어, 해당 메일이 랜섬웨어를 숨기고 있을지는 꿈에도 몰랐다”라고 토로했다. 최근 랜섬웨어들이 사회공학적 기법을 이용해 빠르게 유포되고 있다. 과거 인터넷 익스플로러의 취약점을 통해 감염을 시도했던 매그니베르가 대표적이다. 안랩에 따르면 익스플로러 종료로 한동안 모습을 감췄던 매그니베르가 다..

□ 개요 o 최근 기업의 전사자원관리 서버(ERP*) 및 데이터베이스(이하 DB), 메일 등 운영관리 시스템 대상 랜섬웨어 감염 사고가 지속적으로 발생하고 있어 기업 담당자들의 사전 보안 점검 및 대비 필요 * ERP(Enterprise Resource Planning) : 기업 전반의 업무 프로세스를 통합적으로 관리하는 경영지원 시스템 □ 주요 사고 사례 o 인터넷에 노출되어있는 DB 서버의 기본 계정을 사용*하여 랜섬웨어 감염, 기업 업무 마비 * 최초 DB 설치 시 설정되는 기본 패스워드나 유추가 쉬운 패스워드 사용 o 피해 서버와 동일 네트워크 內 백업서버를 운영하여 백업서버까지 랜섬웨어 감염 □ 보안 권고 사항 o 외부 접속 관리 강화 - 외부에 오픈된 DB 서비스(MSSQL, MYSQL 등) ..

□ 개요 o 최근 이메일 등을 통한 랜섬웨어 사고*, IoT 기기 디도스 공격, 피싱 등 침해사고가 증가하고 있어 이에 대한 각 기관 및 기업 대상 사이버 공격 대비 보안 강화 요청 * 전년 동기 대비 '22년 랜섬웨어 사고 건수는 약 50% 증가(중소기업 비율 84%)하였으나, 중소기업의 데이터 백업률은 31% 수준으로 미비 □ 사고유형 및 사례 o 랜섬웨어 - [사례1] 이력서 등으로 위장한 첨부파일 메일 열람을 통한 랜섬웨어 감염 사례 - [사례2] 출처를 알 수 없는 크랙프로그램을 P2P 등으로 부터 다운로드 받아 실행을 통한 랜섬웨어 감염 사례 o 디도스 - [사례] 취약한 DVR, 공유기 등 IoT 장비을 통한 디도스 공격 발생 o 피싱 - [사례] 취약한 웹사이트가 해킹되어 네이버 등 피싱 ..

기업·기관 노리는 랜섬웨어 공격 증가...NAS와 백업 이중화로 방어 가능 미국 일리노이 주 링컨에 위치한 4년제 대학, 링컨 컬리지는 1865년에 설립되어 1912년 화재, 1918년 스페인 독감, 1930년대 대공황과 세계 대전, 2008년 세계 경제 위기 속에서도 살아남았다. 그러나 2020년 이후 코로나19로 입학자 수가 줄어들고 온라인 수업을 위한 기술적 투자 때문에 어려움을 겪었다. 재정난을 겪던 이 대학교는 지난 해 12월 랜섬웨어 공격으로 치명적인 타격을 입었다. 링컨 컬리지는 모든 데이터를 4개월만인 올해 3월 복구하고 학생 모집과 기금 모금 등에 나섰지만 이런 노력은 성과를 거두지 못했다. 결국 이 학교는 올해 5월 폐교를 결정했다. ■ "올해 악성코드 공격 중 랜섬웨어 비중 70% 전..

2020년 기준 개인 대상 침해사고 피해액 총 9834억원 이 중 '강제협박으로 인한 피해' 5477억원...절반 이상 기업 피해 규모 6956억원...기업보다 개인 피해 더 커 "협박 등 사이버 위협에 더 취약, 이용자 보호 강화필요" #지난해 국내 한 성형외과는 랜섬웨어(Ransomware, 해킹한 데이터로 몸값 지불을 요구하는 사이버 공격) 공격으로 환자 상담이력이 외부에 노출되는 사고를 겪었다. 해커가 다크웹(특수한 프로그램으로만 접속할 수 있는 웹 사이트)에 공개한 자료엔 환자의 신체와 관련된 민감한 상담 내용이 그대로 담겨 있었다. 당시 해커는 환자들에게 직접 연락해 당신의 민감한 정보를 모두 갖고 있다며 수십만원 상당 가상화폐를 몸값으로 요구했다. 2020년 한 해 동안 이같은 개인 대상의 ..

□ 개요 o 최근 인터넷에 연결 된 데이터베이스(이하 DB) 서버 대상 랜섬웨어 감염 사고가 지속적으로 발생하고 있어 기업 담당자들의 철저한 사전 보안 점검 및 대비 필요 □ 주요 사고 사례 o 취약한 DB 서비스 계정 및 패스워드 사용으로 랜섬웨어 감염 - [사례] DB 서버가 인터넷에 노출되고, 기본 DB 계정(sa 등)을 사용*하여 랜섬웨어 감염 * 기업 솔루션(ERP, 회계 등) 설치 시, 설정한 디폴트 패스워드나 쉬운 패스워드 사용 □ 보안 권고 사항 o 외부 접속 관리 강화 - 외부에 오픈된 DB 서비스(MSSQL, MYSQL 등) 접근 차단 ※ 인터넷에 노출된 경우 공격자는 무작위 대입공격(Brute-Force Attack)을 통해 비밀번호 탈취 가능 - 서버 관리를 위해 외부에 오픈된 원격..

□ 개요 o 최근 인터넷에 연결 된 데이터베이스(이하 DB) 서버 대상 랜섬웨어 감염 사고가 지속적으로 발생하고 있어 기업 담당자들의 철저한 사전 보안 점검 및 대비 필요 - 특히 기업 전사자원관리 서버(ERP*) 및 회계 서버 등의 피해사례가 발생하고 있으므로 아래 보안권고 사항을 참고하여 사전대비 * ERP(Enterprise Resource Planning) : 기업 전반의 업무 프로세스를 통합적으로 관리하는 경영지원 시스템 □ 주요 사고 사례 o 보안설정이 미흡하여 랜섬웨어 감염 - [사례] DB 서버가 인터넷에 노출되고, 취약한 DB 계정을 사용*하여 랜섬웨어 감염 * 기업 솔루션(ERP, 회계 등) 설치 시, 설정한 디폴트 패스워드나 쉬운 패스워드 사용 □ 보안 권고 사항 o 외부 접속 관리 ..

□ 개요 o 최근 Kaseya社 VSA를 사용하는 MSP(Multiple Managed Service Provider)에 대한 공급망 랜섬웨어 공격이 발생하여 임시 대응 방안 권고 * VSA : 원격 모니터링 및 관리 소프트웨어 □ 임시 대응 방안 o Kaseya社의 공지가 있을 때까지 VSA 사용 중단 권고 * Kaseya社에서 대응 방안을 공지할 경우, 보호나라 홈페이지를 통해 보안공지 예정 □ 기타 문의사항 o 한국인터넷진흥원 사이버민원센터: 국번없이 118 [참고사이트] [1] https://us-cert.cisa.gov/ncas/current-activity/2021/07/02/kaseya-vsa-supply-chain-ransomware-attack [2] https://helpdesk.kas..

□ 개요 o 최근 미국 CISA*는 미국내 송유관 운영사를 대상으로 한 대규모 랜섬웨어 해킹 공격과 관련하여 긴급 보안 주의 발표[1] * CISA(Cybersecurity and Infrastructure Security Agency) : 미 국토안보부 산하 사이버보안 및 인프라 보안국 - 지난 5월 8일 다크사이드라는 해킹 조직이 미국 최대의 민간 송유관 운영사 '콜로니얼 파이프라인'를 대상으로 랜섬웨어 공격을 수행하여 시설 가동이 전면 중단 □ 주요 해킹 기법 o 최초 침투를 위해 피싱 공격 수행 및 인터넷에 노출된 시스템 계정정보 탈취 o RDP(원격데스크톱) 접속을 통해 내부 이동 o 민감한 데이터를 유출하고 파일을 암호화 o 명령제어채널은 토르(Tor) 네트워크를 이용 □ 보안 권고 사항 o ..

□ 개요 o 최근 기업 대상 랜섬웨어 감염 및 정보유출 사고가 지속적으로 발생하고 있어 각 기업의 철저한 보안 점검 및 대비 필요 □ 주요 사고 사례 o (서버) 보안 설정이 미흡하여 랜섬웨어 감염 및 주요 자료 유출 - [사례1] 쉬운 패스워드를 사용하거나 접근제어 정책 없이 외부에서 원격포트(3389, 22)로 접속 - [사례2] 내부망에 접근하기 위해 구축한 VPN 장비의 취약한 계정관리 및 보안 업데이트 미적용 - [사례3] 보안지원이 종료되거나 보안 업데이트가 적용되지 않은 운영체제 및 소프트웨어 사용 o (PC) 보안 수칙을 준용하지 않아 랜섬웨어 감염 및 주요 자료 유출 - [사례1] 공문, 이력서, 견적서 등으로 위장한 악성메일의 첨부파일(랜섬웨어) 실행 - [사례2] P2P 프로그램을 통..

랜섬웨어 복구절차 https://www.krcert.or.kr/ransomware/recovery.do 랜섬웨어 복구도구 https://www.krcert.or.kr/ransomware/recovery.do NMR(No More Ransom) 제공 랜섬웨어 복구 프로그램 랜섬웨어 최근 동향 및 복구프로그램 제공 - https://www.nomoreransom.org/co/index.html NMR은 2016년 7월 세계 각국 사법기관과 민간 보안 기업 등이 파트너로 참여하는 랜섬웨어 피해 예방 프로젝트입니다. 해당 사이트는 Rakhni, Rannoh, Damage, Crypton, Merry X-Mas, BarRax, Alcatraz, Bart, Crypt888 등의 랜섬웨어 복구프로그램을 제공하고 있습..

랜섬웨어 정의 및 감염경로와 사전 해결방안 랜섬웨어(Ransomware) 정의 https://www.krcert.or.kr/main.do 몸값(Ransom)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질로 금전을 요구하는 악성 프로그램을 말하며 신뢰할 수 없는 사이트, 스팸메일, 파일공유 사이트, 네트워크망을 통해 유포됩니다. ​ 랜섬웨어 감염경로 https://www.krcert.or.kr/main.do ★ 신뢰할 수 없는 사이트 신뢰할 수 없는 사이트의 경우 단순한 홈페이지 방문만으로도 감염될 수 있으며, 드라이브 바이 다운로드(Drive-by-Download) 기법을 통해 유포됩니다. 이를 방지하기 위해서 사용하는 PC의 운영체제 및 ..