NailaoLocker 랜섬웨어
끊임없이 진화하는 사이버 위협 시나리오는 개인과 기관이 디지털 자산을 보호하기 위한 사전 조치를 취하는 것이 필수적입니다. 온라인에서 유통되는 많은 유형의 유해 소프트웨어 중에서 랜섬웨어는 여전히 가장 파괴적인 소프트웨어 중 하나입니다. 암호화 기반 위협 목록에 비교적 새롭게 추가된 NailaoLocker 랜섬웨어는 특히 유럽의 조직을 표적으로 삼는 것으로 관찰되었습니다. 랜섬웨어가 작동하는 방식과 방어 방법을 이해하는 것은 잠재적 피해를 최소화하는 데 중요합니다.
목차
NailaoLocker 랜섬웨어의 작동 방식
NailaoLocker 랜섬웨어는 C++ 프로그래밍 언어로 작성되었으며 감염된 기기의 파일을 암호화하도록 설계되었습니다. 활성화되면 체계적으로 파일을 잠그고 이름에 '.locked' 확장자를 추가합니다. 예를 들어 'report.doc'라는 이름의 문서는 'report.doc.locked'로 이름이 바뀌어 피해자가 액세스할 수 없게 됩니다. 암호화 프로세스를 완료한 후 랜섬웨어는 영향을 받은 파일에 대한 액세스 권한을 회복하는 방법에 대한 지침이 포함된 랜섬 노트를 남깁니다.
피해자들은 비트코인으로 몸값을 지불해야만 데이터가 복구된다는 안내를 받습니다. 이 메모는 일주일 안에 공격자의 요구를 충족하지 못하면 영구적으로 파일이 삭제된다고 경고합니다. 또한 잠긴 파일을 수동으로 해독하거나 수정하려고 시도하지 않도록 경고합니다. 이러한 행동은 추가 데이터 손실로 이어질 수 있습니다.
이전 사이버범죄 활동과의 링크
NailaoLocker는 알려진 중국 위협 행위자가 조직한 공격과 유사한 공격에서 관찰되었습니다. 직접적인 귀속은 없었지만 연구자들은 이 랜섬웨어가 중국과 관련이 있는 그룹에 의해 운영될 수 있다고 추측합니다. 흥미롭게도 대부분의 최신 랜섬웨어 캠페인은 민감한 데이터를 암호화하기 전에 훔치는 이중 강탈 전술을 사용하는 반면 NailaoLocker는 랜섬 메시지에서 정보를 빼내는 것에 대해 명시적으로 언급하지 않습니다. 그러나 증거에 따르면 시스템 데이터를 수집하려고 시도하는 것으로 보이며, 아마도 정보 수집 목적으로 시도하는 것으로 보입니다.
NailaoLocker의 기술적 한계
파괴적인 위협임에도 불구하고 NailaoLocker는 보다 진보된 랜섬웨어 변종에서 발견되는 정교한 기능 중 일부가 부족합니다. 디버깅 방지 기술을 사용하지 않으며 암호화를 시작하기 전에 필수 시스템 프로세스를 비활성화하려고 시도하지도 않습니다. 이러한 제한으로 인해 랜섬웨어가 기능에 필요한 중요한 파일을 암호화하여 감염된 시스템을 실수로 작동 불가능하게 만들 수 있다는 우려가 제기됩니다.
NailaoLocker가 시스템을 감염시키는 방법
NailaoLocker는 Check Point VPN 소프트웨어의 취약성을 악용하는 공격, 특히 'CVE-2024-24919'로 추적된 결함과 관련이 있습니다. 연구원들은 랜섬웨어가 ShadowPad 맬웨어 및 PlugX 원격 액세스 트로이 목마(RAT)와 같은 다른 악성 도구를 통해 손상된 시스템에 배포되었음을 발견했습니다. 이러한 위협은 공격자에게 대상 시스템에 대한 원격 액세스를 제공하여 NailaoLocker를 실행하고 암호화 프로세스를 시작할 수 있도록 했습니다.
그러나 랜섬웨어는 종종 여러 배포 전략을 사용하여 퍼집니다. 일반적인 감염 벡터는 다음과 같습니다.
- 피싱 메시지의 사기성 이메일 첨부 파일 및 링크
- 침해되거나 사기성이 있는 웹사이트에서의 드라이브바이 다운로드
- 오래된 소프트웨어 및 네트워크 인프라의 취약점 악용
- 가짜 소프트웨어 업데이트 및 불법 복제 프로그램
- 합법적인 것처럼 보이지만 숨겨진 위협을 포함하는 트로이 목마화된 애플리케이션
- 취약한 암호 또는 자격 증명 유출을 통해 허가되지 않은 원격 액세스가 가능해졌습니다.
몸값을 지불하는 것이 위험한 이유
랜섬웨어 공격의 피해자의 경우, 공격자가 보유한 복호화 키 없이는 암호화된 파일을 복구하는 것이 불가능한 경우가 많습니다. 안타깝게도, 요구된 몸값을 지불한다고 해서 약속된 복호화 도구가 제공될 것이라는 보장은 없습니다. 사이버 범죄자는 거래의 끝을 이행할 의무가 없으며, 일부 피해자는 작동하지 않거나 불완전한 복호화 소프트웨어를 받기 위해 막대한 금액을 지불하는 자신을 발견했습니다. 게다가 몸값 지불은 이 불법 활동의 지속을 조장하여 추가 사이버 범죄에 자금을 지원합니다.
랜섬웨어에 대항하기 위한 최상의 보안 관행
랜섬웨어 감염을 예방하려면 기술적 방어와 사용자 인식을 모두 포함하는 다층 보안 전략이 필요합니다. 다음 모범 사례를 구현하면 NailaoLocker와 같은 위협에 걸릴 위험이 크게 줄어듭니다.
- 정기적인 데이터 백업 : 외부 드라이브와 버전 관리 기능이 있는 클라우드 스토리지에 저장된 오프라인 백업을 포함하여 필수 파일의 여러 사본을 다른 위치에 보관합니다. 이렇게 하면 파일이 암호화되어 있어도 몸값을 지불하지 않고도 복구할 수 있습니다.
NailaoLocker 랜섬웨어는 사이버 위협의 지속적인 진화를 강조합니다. 소프트웨어 취약성과 취약한 보안 구성을 악용하여 조직을 표적으로 삼습니다. 이 특정 랜섬웨어가 가장 진보된 변종은 아니지만 파일을 암호화하고 작업을 중단시키는 능력을 과소평가해서는 안 됩니다. 강력한 사이버 보안 방어를 구현하고, 적절한 데이터 백업을 유지하고, 새로운 위협에 대한 정보를 얻는 것이 랜섬웨어 공격을 예방하는 가장 좋은 방법입니다.
메시지
NailaoLocker 랜섬웨어와 관련된 다음 메시지가 발견되었습니다.
|
[1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.] [2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.] [3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)] [4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.] [5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com] [Contact us on johncollinsy@proton.me] [Notice:Do not delete or move locked files without unlocking them first.] [Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!] |
