ReVil 차단: Illumio가 가장 많은 랜섬웨어 그룹 중 하나를 방해하는 방법

랜섬웨어 그룹은 왔다가 사라집니다.하지만 ReVil이라는 이름을 가진 사람은 거의 없습니다.소디노키비 (Sodinokibi) 라고도 알려진 이 그룹과 그 계열사는 지난 12~18개월 동안 발생한 가장 대담한 보안 침해 사례 중 일부에 책임이 있습니다.여기에는 폭탄에 대한 공습이 포함됩니다. 유명인 법률 사무소 그리고 육류 가공 대기업은 공격자들에게 1,100만 달러를 벌어들였습니다.다른 주목할만한 캠페인으로는 IT 소프트웨어 회사 Kaseya에 대한 정교한 공격 그리고 대만 제조업체와 Apple 고객의 타협 콴타 컴퓨터.

후자의 두 회사는 각각 7천만 달러와 5천만 달러의 터무니없는 몸값 요구로 유명합니다.하지만 각자의 목표를 달성하기 위해 서로 다른 방식이긴 하지만 글로벌 공급망을 악용했기 때문이기도 합니다.

그리고 리빌이 있는 동안 최근에 중단되었습니다 이 단체는 체포와 제재를 통해 보도에 따르면 지속적인 운영.다행인 것은 고위험 네트워크 연결을 매핑, 모니터링 및 차단할 수 있는 Illumio를 사용하면 REVil의 위협을 완화할 수 있다는 것입니다. 그리고 그룹이 결국 사라질 경우 반복되는 모든 위협도 완화할 수 있습니다.

공급망 공격이 위험한 이유는 무엇일까요?

공급망에 대한 랜섬웨어 공격은 상호 연결된 비즈니스의 전체 네트워크를 방해할 수 있으므로 위험합니다.이러한 공격은 생산을 중단하고 배송을 지연시키며 상당한 재정적 손실을 초래할 수 있습니다.

또한 데이터 침해로 이어져 여러 조직에 민감한 정보가 노출되어 신뢰가 떨어지고 평판이 손상될 수 있습니다.

공급망 내에서의 상호 의존성은 한 기업에 대한 공격이 다른 많은 비즈니스에 영향을 미치고 잠재적으로 광범위한 경제적 결과로 이어질 수 있다는 것을 의미합니다.

2021년 4월의 콴타 컴퓨터 공습은 영리했습니다.Apple의 주요 계약 제조 파트너로서 Apple은 매우 민감한 청사진과 제품 IP에 액세스할 수 있습니다.또한 REVil은 이 회사가 쿠퍼티노의 거대 기술 기업보다 보호 수준이 낮을 수도 있다고 계산했습니다.

콴타가 지불을 거부하자 그룹은 애플에 가서 몸값을 요구했습니다. 그렇지 않으면 도난당한 문서를 유출하거나 팔았습니다.그들이 성공했는지는 알 수 없지만, 습격과 관련된 모든 데이터 이후에 제거되었습니다. 보고서에 따르면 REVil 유출 현장에서 가져온 것입니다.

이 사건은 우리에게 무엇을 말해주는가?첫째로, 여러분의 조직은 랜섬웨어/REVIL은 가치가 높은 파트너와 거래하는 경우 표적이 됩니다.둘째, 보안이 가장 취약한 공급업체만큼만 안전합니다.

REvil은 어떻게 작동합니까?

콴타 공격 자체에는 몇 가지 독특한 요소가 포함되어 있습니다.하지만 취약하고 외향적인 소프트웨어 또는 서비스를 악용하는 광범위한 패턴은 수많은 캠페인에서 사용되었습니다.

이 경우 ReVil은 Oracle WebLogic 소프트웨어의 취약점을 표적으로 삼았습니다.이를 통해 위협 행위자는 사용자 조치 없이 손상된 서버로 하여금 멀웨어를 다운로드하여 실행하도록 할 수 있었습니다.두 가지 주요 단계가 있었습니다.

1. 공격자들은 패치가 적용되지 않은 WebLogic 서버에 HTTP 연결을 만든 다음 Sodinokibi 랜섬웨어 변종을 다운로드하도록 강요했습니다.이들은 PowerShell 명령을 사용하여 악의적인 IP 주소로부터 "radm.exe “라는 이름의 파일을 다운로드한 다음 서버로 하여금 파일을 로컬에 저장하고 실행하도록 강요했습니다.
2. 공격자들은 사용자 디렉터리에 있는 데이터를 암호화하고, Windows가 자동으로 생성하는 암호화된 데이터의 “섀도 복사본”을 삭제하여 데이터 복구를 방해하려고 시도했습니다.

어떻게 하면 리빌을 막을 수 있을까요?

고위험 엔드포인트에 대한 신속한 패치 적용과 같은 적절한 사이버 위생은 조직의 공격 대상을 줄이는 데 도움이 될 수 있습니다.하지만 이 외에도 네트워크 수준에서 보다 포괄적인 조치를 취할 수 있습니다.

조직은 신뢰할 수 있는 채널과 타사 소프트웨어도 멀웨어와 랜섬웨어의 통로가 될 수 있다는 점을 이해해야 합니다.이러한 위험을 완화하려면 다음이 필요합니다. 모든 상용 솔루션 세분화 나머지 환경, 특히 엔드포인트 탐지 및 대응 (EDR) 및 확장된 탐지 및 대응 (XDR) 과 같은 보안 툴을 활용합니다.

기업도 고려해야 할 사항 필수적이지 않은 아웃바운드 연결 식별 및 제한.즉, 포트 80과 443을 포함하여 인증된 대상 IP에 대한 통신을 제외한 모든 것을 차단합니다.이로 인해 공격 진행을 위한 추가 도구를 다운로드하기 위해 명령 및 제어 (C&C) 서버를 “홈”으로 호출하려는 위협 행위자의 공격을 방해할 수 있습니다.또한 조직 외부의 데이터를 자신이 통제하는 서버로 유출하려는 시도를 차단합니다.

일루미오가 도와줄 수 있는 방법

일루미오의 어드밴스드 제로 트러스트 세그멘테이션 기술 간편하고 확장 가능한 정책 관리를 제공하여 중요 자산을 보호하고 랜섬웨어를 격리합니다.Illumio는 보안 팀이 통신 흐름과 고위험 경로에 대한 가시성을 확보할 수 있도록 지원합니다.그런 다음 워크로드 수준까지 완전한 세분화 제어를 적용하여 공격 표면을 대폭 줄이고 랜섬웨어의 영향을 최소화합니다.

Illumio는 간단한 3단계로 ReVil과 같은 랜섬웨어로부터 조직을 보호할 수 있습니다.

1. 모든 필수 및 비필수 아웃바운드 커뮤니케이션을 매핑합니다.
2. 대규모 통신을 제한하는 정책을 신속하게 배포합니다.
3. 종료할 수 없는 모든 아웃바운드 연결 모니터링
   

랜섬웨어에 대한 복원력 구축에 대한 추가 모범 사례 지침:

• e북을 읽어보세요. 랜섬웨어 공격을 차단하는 방법
• 인포그래픽 다운로드, 랜섬웨어 차단을 위한 3단계
• 에 등록하기 일루미오 익스피리언스 Illumio의 위험 기반 가시성과 제로 트러스트 세그멘테이션 기능을 직접 확인할 수 있는 실습 랩