블루 랜섬웨어

오늘날의 디지털 환경에서 맬웨어 위협으로부터 충분한 보호를 하는 것은 그 어느 때보다 중요합니다. 특히 강력한 유형의 맬웨어인 랜섬웨어는 사용자의 데이터를 암호화하고 반환에 대한 몸값을 요구함으로써 상당한 위험을 초래합니다. 그러한 위협 중 하나인 Blue Ransomware가 최근에 등장하여 개인과 조직을 표적으로 삼았습니다. 이 랜섬웨어가 작동하는 방식과 이를 보호하는 방법을 이해하는 것은 데이터 무결성과 시스템 보안을 유지하는 데 필수적입니다.

블루 랜섬웨어 이해하기

사이버 보안 연구원들은 Blue 랜섬웨어를 악명 높은 Phobos 계열의 변종으로 식별했습니다. 이 위협적인 소프트웨어는 감염된 기기의 파일을 암호화하고 피해자의 ID, 이메일 주소 givebackdata@mail.ru, 그리고 '.blue' 확장자를 추가하여 이름을 바꿉니다. 예를 들어, '1.doc'는 '1.doc.id[9ECFA84E-2850].[givebackdata@mail.ru].blue'가 되고, '2.pdf'는 '2.pdf.id[9ECFA84E-2850].[givebackdata@mail.ru].blue'로 변경됩니다.

위협의 몸값 편지

Blue Ransomware가 파일을 암호화하면 몸값 메모가 포함된 'info.hta' 및 'info.txt' 파일을 만듭니다. 이 메모는 피해자에게 암호화 사실을 알리고 제공된 이메일 주소로 공격자에게 연락하고 제목줄에 고유 ID를 입력하도록 지시합니다. 피해자는 비트코인으로 몸값을 지불하여 복호화 도구를 받는 것이 좋으며, 비용은 응답 속도에 따라 달라집니다. 또한 피해자는 암호화된 파일의 이름을 바꾸거나 타사 복호화 도구를 사용하지 않도록 주의해야 합니다. 이는 데이터 손실이나 복호화 비용 증가로 이어질 수 있기 때문입니다.

블루 랜섬웨어의 작동 방식

Blue Ransomware는 로컬 및 네트워크 공유에 저장된 파일을 암호화하고, 시스템 방화벽을 비활성화하고, Shadow Volume Copies를 삭제하여 손쉬운 복구를 방지합니다. '%LOCALAPPDATA%' 디렉터리에 자체를 복사하고 특정 Run 키로 등록하여 지속성을 보장합니다. 또한 위치 데이터를 수집하고 미리 정해진 위치를 공격에서 제외할 수 있어 다재다능하고 지속적인 위협이 됩니다.

배송 방법

Blue를 포함한 Phobos 계열의 랜섬웨어는 종종 취약한 원격 데스크톱 프로토콜(RDP) 서비스를 통해 전달됩니다. 공격자는 일반적으로 제대로 관리되지 않은 계정 자격 증명에 무차별 대입 공격과 사전 공격을 사용합니다. 다른 일반적인 전달 방법으로는 감염된 첨부 파일이나 링크가 있는 사기성 이메일, 기술 지원 전술, 오래된 소프트웨어의 취약점 악용 등이 있습니다. 또한 사이버 범죄자는 악성 광고, 손상되거나 사기성 웹사이트, P2P(피어투피어) 네트워크, 타사 다운로더 및 감염된 USB 드라이브를 통해 랜섬웨어를 퍼뜨릴 수 있습니다.

보안 강화: 랜섬웨어에 대한 방어 방법

• 정기적 백업 : 데이터를 정기적으로 백업하는 것은 랜섬웨어에 대한 가장 효과적인 방어 수단 중 하나입니다. 백업이 오프라인 또는 별도 네트워크에 저장되어 공격 중에 손상될 가능성을 방지해야 합니다.
• 강력한 비밀번호와 다중 인증 : 모든 계정에 대해 강력하고 고유한 비밀번호를 만드세요. 가능한 경우 다중 인증(MFA)을 활성화하세요. 이렇게 하면 무차별 대입 공격이나 사전 공격을 통한 무단 액세스 위험이 크게 줄어듭니다.
• 소프트웨어 업데이트 유지 " 사이버 범죄자가 악용할 수 있는 취약성을 패치하기 위해 프로그램과 운영 체제를 포함한 모든 소프트웨어를 정기적으로 업데이트하세요. 자동 업데이트를 활성화하여 항상 최신 보안 패치로 보호되도록 하세요.
• 불필요한 서비스 비활성화 : 필수적이지 않은 경우 RDP 및 기타 원격 서비스의 사용을 비활성화하거나 제한합니다. RDP가 필요한 경우 강력한 암호, MFA 및 특정 IP 주소에 대한 액세스를 제한하여 보안합니다.
• 사용자 교육 및 훈련 : 피싱 이메일, 악성 첨부 파일 및 사기성 링크의 위험에 대해 사용자를 교육합니다. 정기적인 훈련은 사용자가 잠재적 위협을 인식하고 피하는 데 도움이 됩니다.
• 강력한 보안 솔루션 사용 : 안티맬웨어 및 방화벽 보호를 포함한 포괄적인 보안 솔루션을 구현합니다. 이러한 장치는 악성 활동이 시스템을 손상시키기 전에 탐지하고 차단할 수 있습니다.

결론: 경계가 핵심입니다

블루 랜섬웨어의 등장은 랜섬웨어 공격의 진화하고 지속적인 위협을 강조합니다. 이러한 맬웨어가 작동하는 방식을 이해하고 강력한 보안 조치를 구현함으로써 사용자는 이러한 유해한 계획의 희생자가 될 위험을 크게 줄일 수 있습니다. 경계를 유지하고, 시스템을 최신 상태로 유지하고, 항상 데이터를 백업하여 랜섬웨어 위협으로부터 자신을 보호하세요.

Blue Ransomware가 전달한 몸값 요구서에는 다음과 같은 내용이 적혀 있습니다.

'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail givebackdata@mail.ru
Write this ID in the title of your message -
In case of no answer in 24 hours write us to this e-mail:getmydata@inbox.ru
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
hxxps://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.'