다음과 같이 알려진 랜섬웨어 제품군에 대해 거의 확실하게 들어보셨을 것입니다. DoppelPaymer, 이름 자체가 많은 현대 랜섬웨어 갱단이 사용하는 이중 배럴 협박 기술을 상기시키기 때문입니다.
돈을 지불하라는 압박을 가중시키기 위해 소위 이중 강탈자는 모든 데이터 파일을 뒤섞어 비즈니스 운영을 중단할 뿐만 아니라 이러한 파일의 복사본을 훔쳐 추가 수단으로 사용합니다.
아이디어는 파일 잠금을 해제하고 비즈니스를 다시 시작하기 위해 암호 해독 키에 비용을 지불하면 공격자가 유출하는 대신 훔친 파일을 삭제하는 데 매우 관대하게 동의한다는 것입니다. 해당 파일을 미디어에 공개하거나 규제 기관을 공개하거나 다른 사이버 범죄자에게 판매합니다.
조잡하게 말하면, 협박범은 긍정적인 행동(복호화 키 전달)과 부정적인 행동(훔친 데이터를 유출하지 않음) 모두에 대해 비용을 지불하도록 초대하고 있습니다.
또한 사기꾼들은 신뢰할 수 있는 백업이 있고 암호 해독 키 비용을 지불하지 않고도 스스로 비즈니스를 다시 시작할 수 있기를 바라고 있습니다.
… 그럼에도 불구하고 그들은 귀하가 데이터 유출을 당했다는 사실에 대해 입을 다물게 하겠다고 약속함으로써 어쨌든 그들의 위협적인 돈을 넘겨주도록 귀하를 협박할 수 있습니다.
일반적으로 이중 갈취 공격자는 파일을 왜곡하기 전에 암호화되지 않은 형식으로 파일을 훔칩니다. 그러나 그들이 이미 암호 해독 키를 알고 있다는 점을 감안할 때 스크램블링 프로세스 도중이나 후에 훔칠 수도 있습니다.
명명 및 부끄러움
DoppelPaymer는 이러한 종류의 다른 많은 사이버 갱들과 함께 최근에 언급된 바와 같이 자체 온라인 "명예" 웹 사이트를 운영했습니다. 릴리스를 누르십시오 유로폴에서:
이 랜섬웨어의 배후에 있는 범죄 그룹은 2020년 초 범죄자들이 시작한 유출 웹사이트를 사용하여 이중 강탈 계획에 의존했습니다. 독일 당국은 이 랜섬웨어 그룹의 피해자 37명을 알고 있으며 모두 기업입니다. 가장 심각한 공격 중 하나는 뒤셀도르프의 대학 병원에 대해 자행되었습니다. 미국에서 피해자들은 40,000,000년 2019월부터 2021년 XNUMX월 사이에 최소 XNUMX천만 유로를 지불했습니다.
그것은 나쁜 소식입니다.
Europol이 현재 DoppelPaymer 랜섬웨어에 대해 글을 쓰고 있는 이유는 좋은 소식입니다.
독일, 우크라이나, 미국 법 집행 기관이 참여하는 합동 작전은 방금 결과 독일과 우크라이나의 용의자 심문 및 체포, 법의학 분석을 위한 우크라이나의 전자 기기 압수.
Europol은 이 사건에서 압수된 장비의 사진을 게시하지 않았지만 차량(요즘에는 사실상 다목적 온라인 컴퓨팅 네트워크)과 함께 노트북과 휴대전화가 압수된 것으로 추정하고 있습니다. 검사를 위해 멀리.
서버가 계속 실행 중일 수 있습니다.
보도 자료에는 조사관이 이 랜섬웨어 갱단과 연결된 서버를 압수하거나 종료할 수 있었는지 여부는 언급되지 않았습니다.
오늘날 서버가 합법적인 기업에 의해 운영되든 범죄자에 의해 운영되든 관계없이 서버는 클라우드 어딘가에서 실행되는 경향이 있습니다. 말 그대로 "다른 사람의 컴퓨터"를 의미하며 거의 항상 "다른 곳, 아마도 다른 국가"를 의미하기도 합니다.
안타깝게도 다크 웹 익명성 도구와 신중한 운영 보안을 신중하게 사용하면 범죄자는 사용 중인 서버의 물리적 위치를 숨길 수 있습니다.
이러한 서버에는 이름과 수치 데이터를 게시하는 웹 사이트, 현재 피해자의 암호 해독 키와 지불 여부를 기록하는 데이터베이스 또는 제휴사를 등록하여 도움을 주는 "비즈니스 네트워크" 서버가 포함될 수 있습니다. 그들의 공격을 탑재합니다.
따라서 경찰이 랜섬웨어 갱단의 일부, 많은 또는 전부를 체포하더라도 랜섬웨어 활동이 항상 중단되는 것은 아닙니다. 왜냐하면 그들의 인프라는 남아 있고 여전히 다른 갱단원이 사용하거나 라이벌이 계속해서 사용할 수 있기 때문입니다. 착취 활동.
마찬가지로, 경찰이 랜섬웨어 갱단에 필수적인 서버를 다운 및 압수하는 경우, 체포된 사용자에서 서버로 추적하기 어렵게 만드는 동일한 다크 웹 익명성…
…또한 사용자를 식별하고 체포하기 위해 압수된 서버에서 역방향으로 추적하기 어렵습니다.
물론 사기꾼이 TOR(Onion 라우터)와 같은 익명화 서비스를 거치거나 다른 서비스에 의존하는 대신 실수로 가끔 서버에 직접 연결하는 것과 같은 기술적 또는 운영상의 실수를 저지르지 않는 한 사이버 범죄 현장의 운영자는 우연히 또는 고의로 그들을 쫓아내지 않도록 합니다.
DARK WEB 사기꾼을 잡는 방법에 대해 자세히 알아보십시오.
우리는 유명한 사이버 보안 저자와 이야기합니다. 앤디 그린버그 그의 훌륭한 책에 대해 어둠 속의 추적자: 암호화폐 범죄의 두목을 찾기 위한 전 세계적인 사냥.
무엇을해야 하는가?
- 보호 기능을 다시 사용하지 마십시오. 이러한 체포가 반갑고 압수된 장치가 경찰이 더 많은 용의자를 식별하는 데 도움이 될 가능성이 높기 때문에 이 검거 자체만으로는 랜섬웨어 현장 전체에 큰 타격을 줄 것 같지 않습니다. 실제로 바로 이 경우 Europol 자체는 다음과 같이 경고합니다. "보고서에 따르면 DoppelPaymer는 이후 [Grief'라는 랜섬웨어 갱단으로 브랜드를 변경했습니다."
- 랜섬웨어에만 집착하지 마십시오. 랜섬웨어 공격은 네트워크를 통해 자유롭게 로밍하는 범죄자가 포함된 확장 공격 또는 다중 공격의 끝단인 경우가 종종 있음을 기억하십시오. 회사 전체의 컴퓨터에서 데이터를 훔칠 수 있고 원하는 거의 모든 노트북과 서버에서 원하는 거의 모든 파일을 스크램블할 수 있는 사기꾼은 그들이 원하는 거의 모든 종류의 시스템 관리자 수준 공격을 수행할 수 있습니다(종종 수행). 놀랍지 않게도 이 악의적인 "시스템 관리자" 활동에는 종종 같은 사기꾼이나 다른 사람이 나중에 다시 들어올 수 있도록 조용히 구멍을 여는 것이 포함됩니다.
- 위협 알림이 대시보드에 표시될 때까지 기다리지 마십시오. 예를 들어 이중 갈취 랜섬웨어 공격에서 사기꾼이 파일을 스크램블링하기 전에 약탈하는 데이터 도용 단계는 공격이 활발히 진행 중이라는 편리한 경고입니다. 그러나 사내에 있거나 서비스로 도입된 훌륭한 위협 사냥 팀이 있으면 그보다 훨씬 더 일찍, 이상적으로는 공격자가 전체 네트워크를 공격하려는 초기 교두보를 확보하기 전에도 공격 징후를 감지하는 것을 목표로 할 수 있습니다. .
- 당신이 그것을 피할 수 있다면 지불하지 마십시오. 우리는 항상 "당신이 판단한다면 우리는 당신을 판단하지 않을 것입니다. 하지만 지불하는 것 뿐만 아니라 다음 물결에 자금을 지원 뿐만 아니라 전혀 작동하지 않을 수도 있습니다. Colonial Pipeline은 암호 해독 도구에 4만 달러 이상을 지출한 것으로 유명합니다. 쓸모없는 것으로 밝혀졌다, 그리고 네덜란드 경찰은 최근 "침묵을 팔아" 수백만 달러를 벌었다고 주장하는 사이버 갈취 갱단에 대해 경고했습니다. 어쨌든 유출.
XDR 및 MDR에 대해 자세히 알아보기
사이버 보안 위협 대응을 처리할 시간이나 전문성이 부족합니까?
사이버 보안으로 인해 해야 할 다른 모든 작업에 주의가 산만해질까 봐 걱정되십니까?Sophos Managed Detection and Response 살펴보기:
연중무휴 24시간 위협 사냥, 탐지 및 대응 ▶
활성 적에 대해 자세히 알아보기
우리의 읽기 활성 적 플레이북.
이것은 Sophos Field CTO인 John Shier가 144건의 실제 공격에 대한 흥미로운 연구입니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://nakedsecurity.sophos.com/2023/03/06/doppelpaymer-ransomware-supsects-arrested-in-germany-and-ukraine/
