FireEye 연구원에 따르면 대부분의 경우 (75 %) 사례에서 악성 활동의 첫 번째 증거와 랜섬웨어 사이에서 최소 XNUMX 일이 지났다고합니다. 전개.
공격자는 무엇을 기다리고 있습니까? 지연의 이유 중 하나는 랜섬웨어를 실행하기 전에 많은 시스템에 랜섬웨어를 확산시키고 자하는 것입니다. 그러나 IT 직원, IT 보안 직원 또는 기타 직원이 적거나없는 주말이나 적어도 밤을 기다리는 것도 문제를 발견하고 즉각적인 조치를 취하여 피해를 최소화하는 것입니다.
랜섬웨어 타겟팅 비즈니스
랜섬웨어가 처음으로 새로운 사이버 위협으로 나타 났을 때 대상은 대부분 개인이었습니다. 그러나 사이버 범죄자들이 훨씬 더 많은 금액을 기업에서 강탈 할 수 있다는 것을 깨닫는 데 오래 걸리지 않았습니다.
비즈니스 조직에 중점을 둔 여러 사이버 범죄 그룹과 캠페인이 있으며 다양한 랜섬웨어를 사용합니다. 샘 샘), RyukBitpaymer, REvil, 로커 고가, Doppelpaymer 등.
랜섬웨어는 퍼즐의 마지막 조각 일뿐입니다. 그 전에, 그룹은 다른 멀웨어 및 기술을 사용하여 회사 네트워크를 침해하고 측면 이동을 수행하며 가능한 한 많은 피해를 입힐 때까지 자신의 존재를 숨겨 둡니다.
유용한 조언
Microsoft는 최근에 심층 분석 다양한 그룹의 운영 방식 중 하나이며 조직이 이러한 위협에 맞서 싸우는 데 도움이되는 방어에 대한 조언을 제공했습니다.
두 보안 회사가 지적한 것처럼 공격자는 일반적으로 RDP 또는 기타 원격 액세스 솔루션을 무차별 적으로 수행하거나 전자 메일 또는 드라이브 별 다운로드 공격을 통해 잘 알려진 맬웨어 스포이드를 제공하여 대상 네트워크에서 발판을 마련합니다.
두 회사는 또한 대부분의 경우 수비수는 모든 지옥이 풀리기 전에 침입을 발견하는 데 며칠 또는 몇 주가 있다고 지적했습니다.
Microsoft 위협 방지 인텔리전스 팀은“인간 공격에는 랜섬웨어 페이로드가 배포되기 전에 상당히 길고 복잡한 공격 체인이 포함됩니다.
“이전 단계에는 Microsoft Defender ATP가 탐지하고 경고를 발생시키는 상용 맬웨어 감염 및 자격 증명 도난과 같은 활동이 포함됩니다. 이러한 경보의 우선 순위가 즉시 결정되면 보안 운영 팀은 공격을보다 효과적으로 완화하고 랜섬웨어 페이로드를 방지 할 수 있습니다. 다음과 같은 필수품 멀웨어 감염 Emotet, Dridex 및 Trickbot은 시스템에 존재하는 자격 증명을 포함하여 시스템을 완전히 손상시킬 수있는 문제를 해결하고 처리해야합니다.”
FireEye 연구원들은 다음과 같은 완화 권장 사항을 제안했습니다.
아시다시피, 일반적인 업무 시간 외의 IT 긴급 상황에 기업이 더 잘 대응할 수 있도록 도와주는 조치도 있습니다.
출처 : https://www.helpnetsecurity.com/2020/03/17/enterprise-ransomware-infection/
