머니버드 랜섬웨어

Pink Sandstorm 및 이전 Americium으로도 알려진 이란의 해커 그룹 Agrius는 최근 Moneybird라는 새로운 종류의 랜섬웨어를 개발했습니다. 이 위협적인 맬웨어는 특히 이스라엘 조직을 대상으로 하는 것으로 관찰되었으며 이는 Agrius의 전술에 상당한 변화가 있음을 나타냅니다.

위협적인 무기를 확장하는 사이버 범죄자

Agrius는 이스라엘 기업에 대해 파괴적인 데이터 삭제 공격을 수행한 이력이 있으며 종종 이를 랜섬웨어 사건으로 위장합니다. C++로 코딩된 Moneybird의 출현은 그룹의 성장하는 전문성과 새로운 사이버 도구를 만들기 위한 지속적인 노력을 보여줍니다.

이 그룹의 활동은 최소한 2020년 12월로 거슬러 올라갑니다. 이때 Agrius는 남아프리카, 이스라엘 및 홍콩의 다이아몬드 산업을 대상으로 한 침입 시도를 방해하는 데 관여했습니다. 이전에 Agrius는 .NET 프레임워크를 기반으로 하는 Apostle이라는 랜섬웨어와 그 후속 버전인 Fantasy를 사용했습니다. 그러나 Moneybird는 C++ 프로그래밍 언어를 통해 진화하는 사이버 기능을 보여주기 때문에 그룹의 중요한 발전을 나타냅니다.

위협 행위자는 보안 취약점을 악용하여 액세스 권한을 얻습니다.

Moneybird 랜섬웨어가 사용하는 공격 방법론은 인터넷에 연결된 웹 서버에 존재하는 취약점을 악용하는 것으로 시작하여 높은 수준의 정교함을 보여줍니다. 이 초기 악용은 공격자에게 ASPXSpy 웹 셸의 배포를 통해 대상 조직의 네트워크에 대한 중요한 진입점을 부여합니다.

손상된 네트워크 내부에 들어가면 웹 셸은 공격자가 피해자 환경에 대한 광범위한 정찰을 수행하도록 특별히 조정된 다양한 잘 알려진 도구를 실행할 수 있는 통신 채널 역할을 합니다. 이러한 도구를 통해 공격자는 네트워크 내에서 측면 이동하고, 귀중한 자격 증명을 수집하고, 중요한 데이터를 유출할 수 있습니다.

고급 암호화 기능을 갖춘 Moneybird 랜섬웨어

초기 침투 및 정찰 단계에 이어 Moneybird 랜섬웨어는 손상된 호스트에서 활성화됩니다. 이 랜섬웨어는 "F:\User Shares" 폴더에 있는 중요한 파일을 암호화하는 데 중점을 두고 설계되었습니다. 실행 시 랜섬웨어는 랜섬 노트를 배포하여 피해자에게 24시간 이내에 연락을 취하도록 엄청난 압력을 가하고 도난당한 데이터가 공개적으로 유출될 가능성이 있음을 경고합니다.

Moneybird 랜섬웨어는 GCM(Galois/Counter Mode)과 함께 AES-256을 활용하는 매우 정교한 암호화 방법을 사용합니다. 이 고급 암호화 기술은 각 파일에 대해 고유한 암호화 키를 생성하고 마지막에 암호화된 메타데이터를 추가합니다. Moneybird에 의해 구현된 정밀한 타겟팅 및 강력한 암호화는 대부분의 경우 거의 불가능하지는 않더라도 데이터 복원 및 파일 암호 해독 작업을 매우 어렵게 만듭니다.

랜섬웨어 공격을 막기 위한 중요한 보안 조치

효과적인 보안 조치를 구현하여 랜섬웨어 공격으로부터 장치와 데이터를 보호할 수 있습니다. 첫째, 강력한 최신 보안 소프트웨어를 유지하는 것이 필수적입니다. 자동 업데이트 활성화와 함께 맬웨어 방지 프로그램을 정기적으로 업데이트하면 최신 위협으로부터 보호하는 데 도움이 됩니다.

모든 계정에 대해 강력하고 고유한 암호를 구현하는 것은 또 다른 중요한 단계입니다. 이것은 문자, 숫자 및 기호의 조합을 사용하고 일반적이고 쉽게 추측할 수 있는 암호를 피하는 것으로 구성됩니다. 또한 다단계 인증을 활성화하면 계정에 액세스하기 위한 추가 확인 단계가 필요하므로 보안 계층이 추가됩니다.

랜섬웨어 공격의 영향을 완화하려면 관련 데이터를 정기적으로 백업하는 것이 중요합니다. 오프라인 백업을 생성하거나 클라우드 스토리지 솔루션을 사용하면 암호화 또는 손실 시 중요한 파일을 복구할 수 있습니다.

인터넷을 탐색하고 이메일과 상호 작용하는 동안 주의를 기울이는 것이 필수적입니다. 사용자는 의심스러운 링크를 클릭하거나 신뢰할 수 없는 출처에서 파일을 다운로드할 때 의심을 품어야 합니다. 랜섬웨어 페이로드가 포함될 수 있으므로 잠재적으로 유해한 웹 사이트를 방문하거나 의심스러운 이메일에 관여하지 않도록 경계하고 피하는 것이 중요합니다.

자신을 교육하고 최신 사이버 보안 위협 및 공격 기술에 대한 정보를 유지하는 것은 매우 유익합니다. 피싱 공격에 사용되는 일반적인 사회 공학 전술을 인식하고 잠재적인 랜섬웨어 감염 징후를 인식하면 사용자가 이러한 공격을 예방하고 대응하기 위한 사전 조치를 취하는 데 도움이 될 수 있습니다.

운영 체제, 애플리케이션 및 펌웨어를 정기적으로 업데이트하는 것은 강력한 보안을 유지하는 또 다른 중요한 측면입니다. 패치 및 업데이트에는 종종 랜섬웨어 및 기타 맬웨어에 의해 악용될 수 있는 취약성을 해결하는 보안 수정 사항이 포함됩니다.

이러한 보안 조치를 조합하여 사용자는 랜섬웨어 공격의 파괴적인 영향으로부터 장치 및 데이터 보호를 강화할 수 있습니다.