Mortar Ransomware
악성 소프트웨어는 기업과 개인 모두에게 가장 심각한 사이버 보안 위협 중 하나로 남아 있습니다. 최근의 랜섬웨어 공격은 단 몇 시간 만에 기업 운영을 마비시키고, 막대한 금전적 손실을 초래하며, 중요한 정보를 유출시킬 수 있습니다. 랜섬웨어 공격 그룹들이 점점 더 정교해짐에 따라, 귀중한 데이터를 보호하고 운영 연속성을 보장하기 위해서는 강력한 보안 통제와 선제적 방어 체계를 유지하는 것이 필수적입니다.
목차
Mortar 랜섬웨어 개요
Mortar 랜섬웨어는 사이버 보안 연구원들이 발견한 파일 암호화 악성코드입니다. 이 위협은 주로 기업 환경을 표적으로 삼아 공격자가 운영 중단을 극대화하고 피해자에게 몸값 지불을 압박하는 것을 목표로 합니다. 감염된 네트워크에 배포되면 Mortar는 파일을 암호화하고 피해자의 고유 식별자를 기반으로 'README-[피해자 ID].txt' 형식의 몸값 요구 메시지를 남깁니다.
이 랜섬웨어의 특징 중 하나는 파일 이름 변경입니다. 암호화 과정에서 Mortar는 감염된 모든 파일에 고유한 피해자 ID를 추가합니다. 예를 들어, 원래 '1.png'라는 파일은 '1.png.4RcrXfvVksS5ACA'로, '2.pdf'와 같은 문서는 '2.pdf.4RcrXfvVksS5ACA'로 변경될 수 있습니다. 동일한 식별자가 랜섬 노트 파일 이름에도 사용되어 피해자와 공격자 간의 직접적인 연관성을 만들어냅니다.
암호화 과정 및 랜섬웨어 요구
Mortar는 네트워크에 침투한 후 문서, 데이터베이스, 사진 및 기타 중요한 비즈니스 파일을 포함한 광범위한 데이터를 암호화합니다. 랜섬웨어 공격자들은 피해자의 정보를 암호화하기 위해 AES-256 및 RSA-2048 암호화 알고리즘을 사용했다고 주장합니다. 이러한 주장은 랜섬웨어 운영자들 사이에서 흔히 볼 수 있지만, 궁극적인 목표는 동일합니다. 즉, 복호화 키 없이는 데이터에 접근할 수 없도록 만드는 것입니다.
몸값 요구 메시지는 피해자들에게 파일을 복구할 수 있는 유일한 방법은 공격자로부터 복호화 도구를 구매하는 것이라고 알립니다. 범죄자들은 고정된 몸값 액수를 명시하는 대신, 피해자들을 Tor 기반 포털로 유도하고 사용자 이름과 비밀번호로 구성된 로그인 정보를 제공합니다. 이러한 방식을 통해 공격자들은 개별적으로 지불 조건을 협상하고, 피해 조직의 가치를 고려하여 몸값 요구를 조정할 수 있습니다.
암호화된 파일은 복구할 수 있을까요?
랜섬웨어에 의해 암호화된 파일을 복구하는 것은 공격자의 복호화 메커니즘에 접근할 수 없으면 극히 어렵습니다. 드물지만 사이버 보안 연구원들이 구현상의 오류나 암호화 취약점을 발견하여 무료 복호화 도구를 개발하는 경우가 있습니다. 그러나 이러한 경우는 흔치 않으며, 정교하게 설계된 랜섬웨어에 감염된 피해자들은 복구 옵션이 제한적인 경우가 많습니다.
몸값을 지불하는 것은 일반적으로 매우 위험한 결정으로 여겨집니다. 사이버 범죄자는 돈을 받았다고 해서 반드시 복호화 도구를 제공해야 할 의무가 없습니다. 많은 피해자들이 자금은 이체되었지만 복구 도구가 제공되지 않거나, 제공된 도구조차 데이터 복구에 실패하는 상황을 경험했습니다. 따라서 몸값을 지불하는 것은 파일 복구를 보장받지 못한 채 추가적인 금전적 손실만 초래할 수 있습니다.
감염 매개체 및 공격 기술
Mortar는 랜섬웨어 공격에 흔히 사용되는 여러 공격 방식을 통해 피해자에게 접근할 수 있습니다. 피싱은 가장 흔한 감염 경로 중 하나입니다. 공격자는 압축 파일, 실행 파일 또는 악성 매크로가 포함된 Microsoft Office 문서와 같은 악성 첨부 파일이 있는 이메일을 배포합니다. 이러한 파일을 열면 랜섬웨어 배포 프로세스가 시작될 수 있습니다.
추가적인 감염 경로는 트로이목마 소프트웨어, 가짜 업데이트 메커니즘, 악성 광고 캠페인, 신뢰할 수 없는 다운로드 포털, 비공식 경로를 통해 배포되는 불법 복제 애플리케이션 등이 있습니다. 이러한 방법들은 사용자의 신뢰와 미흡한 보안 제어를 악용하여 시스템에 접근합니다.
기업을 대상으로 하는 공격에서 공격자는 더욱 정교한 기술을 사용할 수 있습니다. 공격자는 취약한 계정 정보를 노린 무차별 대입 공격을 통해 원격 데스크톱 프로토콜(RDP) 서비스를 침해하려 시도하는 경우가 많습니다. 또한, 인터넷에 연결된 시스템의 패치가 적용되지 않은 취약점을 악용하여 초기 침투 경로를 확보한 후, 네트워크를 통해 횡적으로 이동하며 여러 장치에 동시에 랜섬웨어를 배포할 수도 있습니다.
모르타르 감염 대응
Mortar 랜섬웨어가 탐지되면 즉시 차단하는 것이 매우 중요합니다. 감염된 시스템에서 랜섬웨어를 제거하면 추가적인 암호화 활동을 방지하고 시스템 전반에 걸친 추가 피해 위험을 줄일 수 있습니다. 그러나 악성 프로그램 제거와 데이터 복구를 혼동해서는 안 됩니다. 악성 프로그램을 제거한다고 해서 암호화된 파일이 자동으로 복구되는 것은 아닙니다.
가장 확실한 복구 방법은 공격 발생 전에 생성된 손상되지 않은 백업을 복원하는 것입니다. 랜섬웨어가 공격 중에 백업 저장소를 암호화하는 것을 방지하기 위해 백업은 운영 시스템과 분리하여 저장해야 합니다. 안전하고 격리된 백업을 유지하는 조직은 사이버 범죄자와 접촉하지 않고도 랜섬웨어 공격으로부터 복구할 수 있는 훨씬 유리한 위치에 있습니다.
랜섬웨어에 대한 강력한 방어 체계 구축
랜섬웨어에 대한 효과적인 방어는 기술, 사용자 인식 제고, 그리고 사전 예방적 유지 관리를 결합한 다층적인 보안 전략을 필요로 합니다. 조직은 공격자들이 흔히 악용하는 취약점을 제거하기 위해 운영 체제, 애플리케이션 및 네트워크 장치를 정기적으로 업데이트해야 합니다. 특히 원격 접속 서비스에 대한 강력한 인증 정책은 무단 접근 위험을 크게 줄일 수 있습니다.
마찬가지로 중요한 것은 견고한 백업 전략을 수립하는 것입니다. 중요 데이터는 손상된 시스템에서 접근할 수 없는 오프라인 또는 연결이 끊긴 저장소를 포함하여 여러 위치에 복사해야 합니다. 정기적인 백업 테스트를 통해 비상 상황 발생 시 복구 절차가 올바르게 작동하는지 확인해야 합니다.
주요 보안 조치 사항은 다음과 같습니다.
- 별도의 안전한 위치에 저장되는 백업을 정기적으로 유지합니다.
- 보안 업데이트 및 패치가 제공되는 즉시 적용합니다.
- 강력하고 고유한 비밀번호를 사용하고 다단계 인증을 활성화하십시오.
- 불필요한 원격 접속 서비스를 제한하고 로그인 시도 횟수를 모니터링합니다.
- 직원들에게 피싱 이메일과 의심스러운 첨부 파일을 식별하는 방법을 교육합니다.
- 신뢰할 수 있는 엔드포인트 보호 및 네트워크 모니터링 솔루션 배포.
조직은 또한 최소 권한 원칙을 채택하여 사용자에게 역할에 필요한 접근 권한만 부여해야 합니다. 지속적인 모니터링, 보안 감사 및 사고 대응 계획은 Mortar와 같은 랜섬웨어 공격에 대한 복원력을 더욱 강화합니다. 예방적 통제, 신속한 탐지 기능 및 신뢰할 수 있는 백업 시스템의 조합은 최신 파일 암호화 위협에 대한 가장 효과적인 방어책입니다.
결론
Mortar 랜섬웨어는 중요한 데이터를 암호화하고, 운영을 마비시키며, 피해자에게 복호화를 위한 금전적 대가를 요구하는 등 기업 네트워크에 심각한 위협을 가합니다. 공격자들은 암호화된 파일에 고유 식별자를 추가하고 피해자를 전용 랜섬웨어 포털로 유도하는 등 체계적이고 표적화된 접근 방식을 취합니다. 암호화된 파일을 복구하는 것은 어려울 수 있지만, 강력한 사이버 보안 관행을 우선시하고, 격리된 백업을 유지하며, 취약점을 사전에 해결하는 조직은 랜섬웨어 공격의 영향을 크게 줄이고 전반적인 보안 태세를 강화할 수 있습니다.
System Messages
The following system messages may be associated with Mortar Ransomware:
-------------------------------------------- |
