어떤 조직도 듣고 싶어하지 않는 소식입니다. 귀하는 다음과 같은 피해를 입었습니다. 랜섬 이제 다음에 무엇을 해야할지 궁금합니다.
가장 먼저 명심해야 할 것은 당신은 혼자가 아니라는 것입니다. 모든 사이버 공격의 17% 이상이 랜섬웨어와 관련되어 있습니다.—일종의 악성 코드 피해자가 해커에게 몸값을 지불하지 않는 한 피해자의 데이터나 장치를 잠긴 상태로 유지하는 것입니다. 최근 연구에서 설문 조사에 참여한 1,350개 조직 중 78%가 랜섬웨어 공격에 성공했습니다. (링크는 ibm.com 외부에 있습니다).
랜섬웨어 공격은 개인이 악의적인 링크를 클릭하도록 속이는 것을 포함하여 여러 가지 방법 또는 벡터를 사용하여 네트워크나 장치를 감염시킵니다. 피싱 이메일 및 원격 액세스와 같은 소프트웨어 및 운영 체제의 취약점 악용. 사이버 범죄자는 일반적으로 비트코인 및 기타 추적하기 어려운 암호화폐로 몸값 지불을 요청하여 피해자에게 장치 잠금을 해제할 수 있는 암호 해독 키를 제공합니다.
좋은 소식은 랜섬웨어 공격이 발생할 경우 모든 조직이 공격을 억제하고 민감한 정보를 보호하며 가동 중지 시간을 최소화하여 비즈니스 연속성을 보장하기 위해 따를 수 있는 기본 단계가 있다는 것입니다.
초기 응답
영향을 받는 시스템 격리
가장 일반적인 랜섬웨어 변종은 네트워크에서 측면으로 전파되는 취약점을 검색하므로 영향을 받는 시스템을 최대한 빨리 격리하는 것이 중요합니다. 감염되었거나 잠재적으로 감염된 장치에 대해 이더넷 연결을 끊고 WiFi, Bluetooth 및 기타 네트워크 기능을 비활성화하십시오.
고려해야 할 다른 두 가지 단계:
- 유지 관리 작업을 끕니다. 영향을 받는 시스템의 자동 작업(예: 임시 파일 삭제, 로그 순환)을 즉시 비활성화합니다. 이러한 작업은 파일을 방해하고 랜섬웨어 조사 및 복구를 방해할 수 있습니다.
- 백업 연결을 끊는 중입니다. 많은 새로운 유형의 랜섬웨어는 백업을 목표로 하여 복구를 더욱 어렵게 만들기 때문에 데이터 백업을 오프라인으로 유지하십시오. 감염을 제거할 때까지 백업 시스템에 대한 액세스를 제한하십시오.
몸값 메모 사진 찍기
다른 작업을 진행하기 전에 몸값 메모의 사진을 찍어 두십시오. 스마트폰이나 카메라와 같은 별도의 장치로 영향을 받은 장치의 화면을 촬영하는 것이 가장 좋습니다. 사진은 회복 과정을 촉진하고 경찰 보고서를 제출하거나 보험 회사에 청구할 때 도움이 됩니다.
보안팀에 통보
영향을 받는 시스템의 연결을 끊은 후 담당자에게 알리십시오. IT 보안 공격팀. 대부분의 경우 IT 보안 전문가는 다음 단계에 대해 조언하고 조직의 보안을 활성화할 수 있습니다. 사고 대응 계획이란 사이버 공격을 탐지하고 대응하기 위한 조직의 프로세스와 기술을 의미합니다.
영향을 받는 장치를 다시 시작하지 마세요
랜섬웨어를 처리할 때는 감염된 장치를 다시 시작하지 마십시오. 해커는 이것이 첫 번째 본능일 수 있다는 것을 알고 있으며, 일부 유형의 랜섬웨어는 재시작 시도를 통지하고 Windows를 손상시키거나 암호화된 파일을 삭제하는 등의 추가 피해를 야기합니다. 재부팅하면 랜섬웨어 공격 조사가 더 어려워질 수도 있습니다. 귀중한 단서는 컴퓨터 메모리에 저장되어 다시 시작하는 동안 지워집니다.
대신, 영향을 받는 시스템을 최대 절전 모드로 전환하십시오. 이렇게 하면 메모리의 모든 데이터가 장치 하드 드라이브의 참조 파일에 저장되어 향후 분석을 위해 보존됩니다.
근절
이제 영향을 받는 장치를 격리했으므로 장치를 잠금 해제하고 데이터를 복구하고 싶을 것입니다. 랜섬웨어 감염을 근절하는 것은 관리하기 복잡할 수 있지만, 특히 고급 변종의 경우 다음 단계를 통해 복구 경로를 시작할 수 있습니다.
공격 변형 결정
여러 가지 무료 도구가 장치를 감염시키는 랜섬웨어 유형을 식별하는 데 도움이 될 수 있습니다. 특정 변종을 알면 확산 방식, 잠그는 파일, 제거 방법 등 여러 주요 요소를 이해하는 데 도움이 될 수 있습니다. 암호화된 파일의 샘플을 업로드하고 해당 파일이 있는 경우 몸값 메모와 공격자의 연락처 정보를 업로드하세요.
랜섬웨어의 가장 일반적인 두 가지 유형은 화면 잠금 장치와 암호화 도구입니다. 화면 보관함은 시스템을 잠그지만 지불할 때까지 파일을 안전하게 유지하는 반면, 암호화기는 모든 민감한 데이터를 찾아서 암호화하고 몸값을 지불한 후에만 해독하기 때문에 해결하기가 더 어렵습니다.
암호 해독 도구 검색
랜섬웨어 변종을 식별한 후에는 암호 해독 도구를 찾아보세요. 다음과 같은 사이트를 포함하여 이 단계를 돕는 무료 도구도 있습니다. 더 이상 몸값 없다. 랜섬웨어 변종의 이름을 입력하고 일치하는 암호 해독을 검색하기만 하면 됩니다.
회복
운이 좋게 랜섬웨어 감염을 제거했다면 이제 복구 프로세스를 시작할 차례입니다.
시스템 비밀번호를 업데이트한 다음 백업에서 데이터를 복구하세요. 항상 서로 다른 두 가지 형식의 데이터 사본 3개를 보유하고 사본 2개는 오프사이트에 저장하는 것을 목표로 해야 합니다. 1-XNUMX-XNUMX 규칙으로 알려진 이 접근 방식을 사용하면 데이터를 신속하게 복원하고 몸값 지불을 피할 수 있습니다.
공격 후에는 보안 감사를 수행하고 모든 시스템을 업데이트하는 것도 고려해야 합니다. 시스템을 최신 상태로 유지하면 해커가 이전 소프트웨어에서 발견된 취약점을 악용하는 것을 방지할 수 있으며, 정기적인 패치를 통해 시스템을 최신 상태로 안정적으로 유지하고 맬웨어 위협에 대한 저항력을 유지할 수 있습니다. 또한 배운 교훈을 바탕으로 사고 대응 계획을 개선하고 필요한 모든 이해관계자에게 사고를 충분히 전달했는지 확인할 수도 있습니다.
신고 기관
랜섬웨어는 강탈이자 범죄이므로 항상 랜섬웨어 공격을 법 집행 기관이나 FBI에 신고해야 합니다.
복구 노력이 효과가 없을 경우 당국에서 파일 암호 해독을 도와줄 수도 있습니다. 그러나 데이터를 저장할 수 없더라도 사이버 범죄 활동을 분류하고 다른 사람들이 유사한 운명을 피하도록 돕는 것이 중요합니다.
랜섬웨어 공격의 일부 피해자는 법적으로 랜섬웨어 감염을 보고해야 할 수도 있습니다. 예를 들어, HIPAA 규정을 준수하려면 일반적으로 의료 기관에서 랜섬웨어 공격을 포함한 모든 데이터 침해를 보건 복지부에 보고해야 합니다.
납부 여부 결정
결정 몸값을 지불할지 여부 복잡한 결정이다. 대부분의 전문가들은 다른 모든 옵션을 시도했고 데이터 손실이 결제보다 훨씬 더 해로울 경우에만 결제를 고려해야 한다고 제안합니다.
어떤 결정을 내리든, 진행하기 전에 항상 법 집행관 및 사이버 보안 전문가와 상담해야 합니다.
몸값을 지불한다고 해서 데이터에 다시 액세스할 수 있거나 공격자가 약속을 지킬 것이라는 보장은 없습니다. 피해자는 몸값을 지불했지만 암호 해독 키를 전혀 받지 못하는 경우가 많습니다. 더욱이 몸값을 지불하면 사이버 범죄 활동이 지속되고 사이버 범죄에 자금이 더 필요할 수 있습니다.
향후 랜섬웨어 공격 방지
이메일 보안 도구와 맬웨어 방지 및 바이러스 백신 소프트웨어는 랜섬웨어 공격에 대한 중요한 첫 번째 방어선입니다.
또한 조직은 방화벽, VPN 및 보안과 같은 고급 엔드포인트 보안 도구에 의존합니다. 다중 요소 인증 데이터 위반을 방어하기 위한 광범위한 데이터 보호 전략의 일환으로.
그러나 실시간으로 사이버 범죄자를 포착하고 성공적인 사이버 공격의 영향을 완화할 수 있는 최첨단 위협 탐지 및 사고 대응 기능 없이는 사이버 보안 시스템이 완성되지 않습니다.
IBM Security® QRadar® SIEM은 보다 스마트한 위협 감지 및 보다 빠른 교정을 위해 기존 로그와 함께 네트워크 트래픽에 머신 러닝 및 사용자 행동 분석(UBA)을 적용합니다. 최근 Forrester 연구에서 QRadar SIEM은 오탐지를 식별하고 사고 조사에 소요되는 시간을 14,000% 단축하며 심각한 보안 침해가 발생할 위험을 90% 줄여 보안 분석가가 60년 동안 XNUMX시간 이상을 절약할 수 있도록 도왔습니다.* QRadar 사용 리소스가 부족한 보안 팀인 SIEM은 위협을 신속하게 감지하고 정보에 입각한 즉각적인 조치를 취하여 공격의 영향을 최소화하는 데 필요한 가시성과 분석 기능을 갖추고 있습니다.
*그만큼 IBM Security QRadar SIEM의 Total Economic ImpactTM IBM을 대신하여 Forrester Consulting이 2023년 4월에 실시한 의뢰 연구입니다. 인터뷰에 참여한 XNUMX명의 IBM 고객을 모델로 한 복합 조직의 예상 결과를 기반으로 합니다. 실제 결과는 클라이언트 구성 및 조건에 따라 달라지므로 일반적으로 예상되는 결과를 제공할 수 없습니다.
이 글이 도움 되었나요?
가능아니
보안 관련 정보 더보기
IBM 뉴스레터
새로운 트렌드에 대한 최신 사고 리더십과 통찰력을 제공하는 뉴스레터와 주제 업데이트를 받아보세요.
지금 가입
더 많은 뉴스 레터
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.ibm.com/blog/how-to-respond-to-ransomware-attack/
