검색

지원하는 언어

이란의 'SamSam' 해커가 네트워크를 몸값으로 가져가는 것을 막는 방법

12월 2nd, 2018

» 블로그 » 이란의 'SamSam' 해커가 네트워크를 몸값으로 가져가는 것을 막는 방법

By Yaron Kassner, CTO 및 공동 설립자, Silverfort

SamSam – 귀엽지 않나요? 글쎄, 그렇지 않습니다. SamSam은 파괴적이다 랜섬 이는 200년에 병원, 시 정부 및 기타 조직을 포함하여 미국 전역에서 2018명 이상의 피해자에게 영향을 미쳤습니다. 28월 XNUMX일, 미국 법무부는 SamSam 랜섬웨어의 글로벌 확산과 관련하여 컴퓨터 해킹 혐의로 이란 국민 XNUMX명을 기소했습니다. 용의자들은 현재 미국 법 집행의 손이 닿지 않는 이란에 있으며, 두 용의자가 심문을 받기 위해 미국으로 갈지는 의문이다. 또한 이러한 공격이 멈출 수 있을지 의심스럽습니다. 따라서 이 공격이 어떻게 작동하는지 이해하고 몇 가지 보호 조치를 구현하는 것이 중요합니다.

차례

  • 첫 번째 끝점 손상
  • 네트워크로 더 깊이 이동
  • SamSam 완화 비용이 랜섬 지불을 초과함
  • SamSam Ransomware로부터 조직을 보호하는 방법은 무엇입니까?

    • 첫 번째 끝점 손상

    SamSam은 인터넷에서 원격 데스크톱에 열려 있는 컴퓨터를 대상으로 합니다. 이러한 끝점을 찾는 것은 매우 쉽습니다. 다음과 같은 무료 도구입니다. 쇼단 그러한 기계의 목록을 제공할 수 있습니다. 현재 Shodan에서 인터넷에 공개된 원격 데스크톱의 레코드는 2,475,311개입니다. 이러한 데스크톱의 암호는 무차별 대입 공격으로 해킹하거나 단순히 다크 웹에서 구입할 수 있습니다. 클라우드 환경의 사용 증가는 조직을 위험에 빠뜨립니다. 무모한 관리자가 인터넷에서 시스템에 대한 액세스를 보호하지 않고 클라우드에 시스템을 쉽게 노출할 수 있기 때문입니다.

    네트워크로 더 깊이 이동

    SamSam은 감염된 단일 엔드포인트의 파일만 암호화하지 않습니다. 엔드포인트가 손상되면 SamSam은 훔친 자격 증명을 활용하고 다음과 같은 취약점을 악용합니다. 영원한 블루 네트워크를 가로질러 이동합니다. 이것은 "피드 오브 더 어스(feed of the earth) 기술" 즉, 기존 관리 도구를 사용합니다. 이를 통해 랜섬웨어는 더 가치 있는 데이터를 보유한 더 가치 있는 서버에 도달할 수 있습니다. 컴퓨터 한 대를 인질로 잡는 대신 전체 네트워크를 장악합니다.

    백업은 종종 다음을 위한 방어 메커니즘으로 생각됩니다. 랜섬웨어 예방. 그러나 네트워크에서 측면으로 이동할 수 있는 기능을 통해 SamSam은 이러한 백업에 도달하여 쓸모 없게 만들 수도 있습니다. 백업이 암호화된 피해자는 몸값을 지불하지 않으면 데이터를 잃게 됩니다.

    SamSam 완화 비용이 랜섬 지불을 초과함

    지금까지 해커들은 몸값으로 6만 달러 이상을 벌어들였습니다. 그러나 영향을 받는 조직의 비용은 훨씬 더 높습니다. 몸값을 지불하고 파일 잠금을 해제한 후 위협이 네트워크에서 완전히 제거되었는지 확인해야 하기 때문입니다. 애틀랜타 시가 감염되었을 때 그들은 요청한 몸값이 그보다 훨씬 낮음에도 불구하고 사건을 해결하기 위해 총 17만 달러를 지출했습니다.
    랜섬 비용 외에도 위협이 제거될 때까지 발생하는 중단 비용이 명백합니다. 아마도 그것이 맬웨어가 많은 의료 서비스 제공자를 공격하는 이유 중 하나일 것입니다. 그들은 다운될 여유가 없습니다.

    SamSam Ransomware로부터 조직을 보호하는 방법은 무엇입니까?

      • 데이터를 오프라인으로 백업: 랜섬웨어로부터 보호하기 위해 백업에 의존하고 있다면 공격자가 백업에도 접근하지 못하도록 해야 합니다. 네트워크에 백업을 저장한다는 것은 네트워크의 다른 데이터만큼 랜섬웨어에 노출된다는 것을 의미합니다.
      • 인터넷을 통해 노출되는 원격 데스크톱 서버를 식별합니다. 인터넷을 통해 노출되는 원격 데스크톱을 검색하는 방법을 찾으십시오. 노출된 원격 데스크톱은 인터넷을 통해 노출된 후 몇 시간 내에 무차별 대입 공격의 대상이 됩니다. 따라서 인터넷에 노출된 원격 데스크톱을 식별하는 좋은 방법은 무차별 대입 공격을 찾는 것입니다. Silverfort 그렇게 하는 데 도움이 될 수 있습니다.
      • 시행하여 RDP 액세스 보호 다중 요소 인증 – 원격 데스크톱을 인터넷에 노출해야 하는 경우 VPN 또는 배스천 호스트를 사용하세요. 이는 시스템에 대한 직접적인 네트워크 액세스를 방지합니다. 하지만 비밀번호 기반 인증 충분하지 않습니다. 또한 합법적인 사용자가 자격 증명을 실제로 사용하는지 확인하려면 MFA를 추가해야 합니다. Silverfort 에이전트 없이 이러한 시스템에 MFA를 추가할 수 있습니다.
      • 측면 이동 방지 - PSExec과 같은 관리 도구 사용에 MFA를 적용하면 이러한 공격을 효과적으로 차단할 수 있습니다. 그러나 기존 MFA 솔루션은 이러한 도구에 대해 구현할 수 없습니다. Silverfort의 에이전트 없는 MFA 플랫폼은 이러한 도구로도 쉽게 확장할 수 있습니다.
      • 중요한 데이터에 대한 액세스 보호 – 데이터베이스 및 파일 공유를 포함하여 중요한 리소스에 대한 모든 액세스에 대해 MFA를 적용합니다.

     

    Yaron Kassner, CTO 및 공동 설립자, Silverfort

    Silverfort의 CTO 및 공동 창립자 Yaron Kassner 사이버 보안 및 빅 데이터 기술 전문가입니다. 공동 창업 전 Silverfort, Yaron은 Cisco의 빅 데이터 전문 컨설턴트로 재직했습니다. 또한 Microsoft에서 빅 데이터 분석 및 기계 학습 알고리즘과 관련된 새로운 기능을 개발했습니다. 그 전에 Yaron은 이스라엘 방위군의 8200 정예 사이버 부대에서 복무하면서 평판이 좋은 R&D 팀을 이끌고 대위로 진급했으며 영예로운 우수상을 받았습니다. Yaron은 B.Sc. 수학에서 Summa Cum Laude, M.Sc. 그리고 박사. Technion – Israel Institute of Technology에서 컴퓨터 과학 학사 학위를 취득했습니다.

     

    방법을 알아 보려면 Silverfort SamSam 및 기타 위협으로부터 조직을 보호할 수 있습니다. 오늘 저희에게 연락하십시오..

    데모 준비가 되셨습니까?
    오늘 등록하십시오.

    최근 게시물

    오월 6일 (2024년)

    MITM을 사용하여 FIDO2 피싱 방지 보호 우회

    , 2을 2024nd 수 있습니다

    Silverfort RSA 2024에서 연구 공개: MITM을 사용하여 SSO에 대한 최신 인증 방법 우회

    사월 24 일 (2024 년)

    AD 위생을 강화하는 5가지 방법 Silverfort  

    26년 2024월 XNUMX일

    Identity Underground 보고서: 가장 중요한 ID 보안 격차에 대한 심층적인 통찰력  
    더보기

    Follow Us

    인증 공격 막기