HOR은 사람이 수동으로 발견한 시스템의 특정 약점을 표적으로 한다는 점에서 기존 랜섬웨어와 다릅니다. 예는 환경에서 상승된 서비스를 사용하는 것입니다. Microsoft는 HOR이 공격의 모든 단계에서 사람의 개입을 수반하며 시스템 결함이나 사람의 실수가 권한을 높이고 더 민감한 데이터에 액세스하여 궁극적으로 더 많은 지불금을 얻기 위해 악용될 수 있다고 말합니다. HOR을 더욱 위험하게 만드는 것은 공격자가 일반적으로 지불한 후에도 네트워크를 떠나지 않는다는 것입니다. 그들은 완전히 정리될 때까지 새로운 맬웨어를 배포하여 액세스를 통해 수익을 창출하려고 합니다.
마이크로소프트 는 RaaS가 최근 이중 갈취 모델에 끌리기 시작했다고 강조했다. 이중 갈취 모델에서는 데이터가 암호화될 뿐만 아니라 공격자가 비용을 지불할 때까지 이를 공개하겠다고 위협하기도 한다. 이 회사는 또한 HOR 캠페인이 일반적으로 권한을 높이기 위해 열악한 자격 증명 위생뿐만 아니라 레거시 구성 및 잘못된 구성을 활용한다고 언급했습니다. 따라서 조직의 보안 전문가는 개별 경보를 찾을 뿐만 아니라 전체 보안 태세 및 사고에 대한 전체적인 관점을 갖는 제로 트러스트 모델로 전환해야 합니다.
Microsoft 는 또한 조직에 아래에 설명된 RaaS 파트너 모델에 대해 경고했습니다.
과거에 우리는 단일 랜섬웨어 변종의 각 캠페인에서 초기 침투 벡터, 도구 및 랜섬웨어 페이로드 선택 사이의 밀접한 관계를 관찰했습니다. 기술 전문 지식과 상관없이 더 많은 범죄자가 다른 사람이 만들거나 관리하는 랜섬웨어를 배포할 수 있도록 하는 RaaS 파트너 모델은 이 연결을 약화시킵니다. 랜섬웨어 배포가 경제가 되면서 특정 공격에 사용된 기술을 랜섬웨어 페이로드 개발자에게 돌리는 것이 점점 더 어려워지고 있습니다.
[…] RaaS는 운영자와 계열사 간의 계약입니다. RaaS 운영자는 랜섬웨어 페이로드를 생성하는 링커와 피해자와 연결하기 위한 결제 포털을 포함하여 랜섬웨어 작업을 지원하는 도구를 개발 및 유지 관리합니다.
[…] 이러한 방식으로 RaaS는 단일 종류의 랜섬웨어 또는 공격자 집합인 단일 종류의 페이로드 또는 캠페인을 생성합니다. 그러나 발생하는 일은 RaaS 운영자가 랜섬웨어 페이로드 및 암호 해독기에 대한 액세스 권한을 침입 및 권한 상승을 수행하고 실제 랜섬웨어 페이로드 배포를 담당하는 계열사에 판매한다는 것입니다. 그런 다음 당사자는 이익을 공유합니다. 또한 개발자와 RaaS 운영자는 수익을 위해 페이로드를 사용하고, 판매하고, 다른 랜섬웨어 페이로드와 함께 캠페인을 실행할 수 있습니다. 이는 이러한 활동 뒤에 있는 범죄자를 추적할 때 상황을 더욱 혼란스럽게 합니다.
이러한 증가하고 정교한 위협 에 대처하기 위해 Microsoft 는 조직이 제로 트러스트 모델로 이동하고, 자격 증명 위생을 만들고, 자격 증명 노출을 감사하고, 클라우드에서 강화하고, Active Directory 업데이트 배포의 우선 순위를 지정하고, 공격 표면을 줄이고, 보안 사각 지대를 완화하고, 경계, 특히 인터넷 연결 리소스를 강화합니다. 마지막으로 그는 고객이 Microsoft 365 Defender Unified Investigation 및 도메인 간 가시성을 사용하여 위협을 감지하고 사전에 대응할 것을 권장했습니다. Microsoft 는 5월 12일 Microsoft Conference Security Summit 디지털 이벤트 에서 이 방향에 대해 더 자세히 설명할 계획 입니다. 여기에서 등록할 수 있습니다 .
답글 남기기