● 악성코드 

RaaS로 성공한 '레빌 랜섬웨어'의 주요 동향과 이를 막는 방법 

· 레빌(Revil)은 서비스로서의 랜섬웨어(ramsomware-as-a-service, RaaS) 공격으로, 지난 해 세계적으로 기업들에게 많은 돈을 강탈했다. 레빌의 이름은 영화 레지던트 에빌(Resident Evil)을 모티브로 한 랜섬웨어 에빌(Ransomeware Evil)을 의미한다. 

· 레빌은 인간이 조정하는 랜섬웨어 프로그램 가운데 하나이고, 류크(Ryuk), 웨이스티드로커(WastedLocker) 등과 비슷하다. 공격자는 침입이 성공하면 다양한 도구와 기법을 이용해 네트워크를 매핑하고 횡적 이동을 수행하고 도메인 관리자 권한을 획득하고 랜섬웨어를 모든 컴퓨터에 전개해 영향을 최대화한다. 

· 기업은 언제나 강력한 인증서와 이중 인증으로 원격 접속을 보완해야 하고, 이를 VPN으로 제한하는 것을 고려해야 한다. 공공에 노출된 서버, 애플리케이션, 기기는 계속해서 업데이트돼야 하고, 정기 검사를 통해 취약점, 구성 오류, 의심스러운 거동을 확인해야 한다. 

원본기사 : https://www.itworld.co.kr/news/210884

새 랜섬웨어 블랙바이트, 알고리즘부터 난독화까지 모두 어설퍼 

· 새로운 랜섬웨어 패밀리가 등장했다. 이름은 블랙바이트(BlackByte)라고 하는데, 초보자가 만든 멀웨어라는 티가 팍팍 난다고 보안 전문가들은 분석하고 있다. 탐지 기술을 우회하지도 못하고, 모든 피해자들에게 동일한 암호화 알고리즘을 사용하고 있지 않다는 치명적인 실수도 여기에 포함된다. 

· 랜섬웨어가 이렇게까지 허술하다는 건 기존 랜섬웨어 패밀리와 관련이 없다는 뜻이라고 트러스트웨이브는 결론을 내리고 있다. “개발자들이 충분한 경험을 가지고 있지 않은 듯 보입니다. 게다가 아예 백지부터 만들어 낸 것으로 보입니다. 대단히 어설프고 서투른 느낌이 여기 저기서 나옵니다.” 수석 보안 연구원인 칼 시글러(Karl Sigler)의 설명이다. 

· 이렇게 어설픈 랜섬웨어가 등장한다는 건 현재 사이버 범죄자들 사이에서 랜섬웨어가 큰 인기를 얻고 있다는 것을 방증하기도 한다. 보안 업체 소닉월(SonicWall)의 사이버 위협 보고서에 따르면 2021년 전반기 동안 랜섬웨어 공격은 150% 증가해 총 3억 500만 번 가까이 발생했다고 한다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=101657&page=1&kind=1

● 어플리케이션 

'상위 1%' 데이팅앱 개인정보 털렸다…경찰 수사 착수 

· 고소득자와 고액자산가들을 상대로 까다로운 가입 인증 절차를 받는 데이팅 애플리케이션(앱)이 해킹돼 경찰이 수사에 착수했다. 

· 15일 경찰 등에 따르면 데이팅앱 '골드스푼'은 지난 12일 회원들에게 보낸 공지에서 "수일 전 회사 내부 정보망에 사이버테러(랜섬웨어, 디도스, 해킹 등) 피해가 발생한 것으로 추정하고 있다"고 밝혔다. 

· 앱 운영진은 "피해를 입은 정보 항목은 ID, 성함, 생년월일, 전화번호, 앱 내 제출자료 등"이라며 "사이버 공격에 대한 보안 시스템 대응과 보완은 완료된 상태"라고 덧붙였다. 

· '골드스푼'은 '상위 1%'만 가입하는 데이팅앱을 표방하며 회원들의 직업과 경제력을 확인하기 위해 증빙 자료를 제출받는 것으로 알려졌다. 제출 가능한 서류는 전문직 자격증, 일정 수준 이상의 연봉 원천징수영수증, 부동산등기서류 등이다. 

· '골드스푼' 회원 수는 13만 명에 이르는 것으로 알려졌다. 정보가 유출된 회원들 일부는 카카오톡 오픈채팅방을 개설하고 집단 대응 방향을 논의하고 있다. 

원본기사 : https://www.yna.co.kr/view/AKR20211015019600004?input=1195m

고등학생들도 가지고 노는 IP 카메라, 취약점 문제 심각해 

· 미국 일리노이즈 주 고등학교 6개에서 일시에 ‘릭롤링’이 시작됐다. 졸업반 학생들이 IPTV 시스템에서 취약점을 발견해 익스플로잇 했기 때문이다. 

· 다행히 학교 측은 학생들의 이러한 행위를 졸업 직전의 행사 정도로 받아들여주었고, 학생들은 취약점을 해당 IPTV 제조사에 제보했다. 하지만 졸업식이 끝난 후에도 제조사 측에서는 아무런 연락이 없다고 한다. 제조사는 엑스테리티(Exterity)다. 

· 릭롤링(Rickrolling)은 오래된 팝스타 릭 애슬리의 ‘네버 고너 기브 유 업’이라는 노래의 뮤직비디오를 피해자의 의도와 상관없이 강제로 재생시키는 일종의 인터넷 해킹 놀이다. 학생들이 발견한 취약점은 CVE-2021-42109라는 이름으로 등록됐다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=101556&page=1&kind=1

● 네트워크 

국내 기업 DB 서버 대상 랜섬웨어 감염 사고 확산…보안점검 필수 

· 최근 인터넷에 연결 된 데이터베이스(이하 DB) 서버 대상 랜섬웨어 감염 사고가 지속적으로 발생하고 있어 기업 담당자들의 철저한 사전 보안 점검 및 대비가 필요한 상황이다. 

· 최근 랜섬웨어 감염 사고 사례를 보면, 주로 보안설정이 미흡해 감염된 사례가 발생하고 있다. DB 서버가 인터넷에 노출되고, 취약한 DB 계정을 사용해 랜섬웨어에 감염되는 것이다. 기업 솔루션(ERP, 회계 등) 설치 시, 설정한 디폴트 패스워드나 쉬운 패스워드를 사용하는 것이 문제다. 

· 우선 외부 접속 관리 강화는 필수다. 외부에서 DB 서스(MSSQL, MYSQL 등) 및 원격(RDP, SSH) 접근을 차단해야 한다. 부득이하게 인터넷에서 접근해야 하는 경우, VPN 및 이중인증 등을 통해 접근 관리를 해야 한다. 불필요한 네트워크 서비스를 중지하는 것도 필요하다. 

· 운영체제와 DB 등의 계정 관리 강화도 중요하다. 최초 설치 시 기본 관리자 패스워드는 반드시 변경 후 사용해야 한다. 

원본기사 : https://www.dailysecu.com/news/articleView.html?idxno=130218

협박 범죄 해킹 그룹 스냅MC, 30분 만에 네트워크 침해해 

· 새로운 해킹 범죄 그룹이 출현했다. 이름은 스냅MC(SnapMC)이며 피해자의 네트워크에 30분 내에 침투하는 데 성공하는데, 이 때 피해자의 네트워크를 느리게 하거나 마비시키지 않는다고 한다. 

· 즉, 몰래 침투한다는 건데, 이를 통해 데이터를 빼내고, 빼낸 데이터를 가지고 피해자를 협박하여 돈을 뜯어내는 수법으로 금전적 목적을 달성한다. 각종 웹 서버 및 VPN의 취약점을 익스플로잇 하는 게 주요 수단으로 보인다. 

· 데이터를 빼돌리고 ‘돈 안내면 공개하겠다’고 협박하는 건 요즘 랜섬웨어 운영자들의 흔한 수법이다. 스냅MC는 랜섬웨어 공격자들의 전략 중 ‘암호화’ 부분을 빼고 데이터 유출 협박만을 하는 독특한 단체다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=101509&page=5&kind=1

● 시스템 

데이터 저장하는 스토리지, 열어 보니 온갖 취약점의 저장소? 

· 랜섬웨어 공격이 성행하고 있지만 기업의 스토리지와 백업 환경은 전혀 안전해지고 있지 않다는 연구 결과가 나왔다. 엔드포인트와 IT 네트워크는 보완을 하고 있는데, 정작 랜섬웨어 대응에 있어 가장 중요한 요소인 백업 드라이브를 손보고 있지 않다는 모순이 드러났다. 

· 보안 업체 컨티뉴이티(Continuity)는 조사를 위해 자사 고객들이 보유한 스토리지 시스템 423개를 분석했다. SAN과 NAS 시스템 모두가 이번 조사에 포함되어 있었으며, 스토리지 관리 서버와 가상 SAN, 가상 스토리지, 데이터 보호 장비들도 가리지 않고 전부 분석했다고 한다. 그 결과 각종 취약점들이 대거 발견되었다. 데이터 탈취에서 조작, 삭제 등의 악성 행위를 가능하게 해 주는 취약점들이었다. 

· 요즘 랜섬웨어 공격자들은 백업 드라이브를 찾아 암호화 하는 걸 필수적으라고 할 만큼 중요하게 생각하고 실천한다. 그렇기 때문에 랜섬웨어 방비를 한다고 하면서 스토리지에 무관심한 건 모순이 되는 지점이라고 피나스는 말한다. 

원본기사 : https://www.boannews.com/media/view.asp?idx=101566&page=1&kind=1

‘제2의 운영체제’ 브라우저 보안 강화하는 신기능 가이드 

· 클라우드 컴퓨팅 사용이 활발해지면서 사용자의 브라우저가 운영체제 역할을 하고 있다. 기업 사용자는 운영체제 업데이트가 배포됐을 때 부작용 여부를 확인하기 위해 패치를 미루곤 한다. 하지만 이렇게 하면 위험하다. 예를 들면 최근 구글이 크롬 제로데이 공격 2건을 감지했는데, 엣지 브라우저는 크롬과 마찬가지로 크로니움 기반으로 작동하기 때문에 크롬이 제로데이 공격을 받으면 엣지 브라우저에도 영향이 있음을 염두에 둬야 한다. 

· 엣지 브라우저는 ‘엄청나게 강력한 보안 모드(Super Duper Secure Mode)’라는 새로운 기능을 테스트하고 있다. 이 기능을 활성화하려면 베타 채널을 이용해야 한다. 

· 크롬은 ‘향상된 보호 모드(Enhanced Safe Browsing mode)’라는 새로운 보안 기능을 발표했다. 크롬 브라우저 설정에서 ‘개인정보 및 보안 → 보안’ 항목으로 접속하면 '세이프 브라우징' 하단에 있는 '향상된 보호 모드'를 선택할 수 있다. 

원본기사 : https://www.itworld.co.kr/news/211644