SamSam Ransomware
악성코드는 개인과 조직 모두에게 가장 시급한 위협 중 하나입니다. 사이버 범죄자들은 끊임없이 혁신을 거듭하며 취약점을 악용하고 민감한 데이터에 불법적으로 접근하기 위한 새로운 공격 전략을 개발하고 있습니다. 이러한 위협 중에서도 SamSam 랜섬웨어는 일반적인 피싱 기반 감염 방식과 다르다는 점에서 특히 위험한 변종으로 꼽힙니다. SamSam 랜섬웨어의 작동 방식을 이해하고 강력한 보안 조치를 구현하는 것은 시스템 안전을 유지하는 데 필수적입니다.
목차
SamSam 랜섬웨어란 무엇인가요?
2015년 말에서 2016년 초 사이에 처음 발견된 SamSam 랜섬웨어(Samas 또는 SamsamCrypt라고도 함)는 의료, 교통, 교육, 지방 정부 등 주요 산업을 표적으로 삼은 공격으로 빠르게 악명을 떨쳤습니다. 사회 공학적 기법에 의존하는 일반적인 랜섬웨어 공격과 달리, SamSam은 직접적인 네트워크 공격을 사용합니다.
처음에는 동유럽에서 유래한 것으로 여겨졌지만, 이후 조사 결과 이 맬웨어는 이란 사이버 범죄자와 관련이 있는 것으로 밝혀졌으며, 2018년에는 두 명이 기소되었습니다. 이 맬웨어는 전 세계적으로 영향을 미쳤으며, 미국, 영국, 프랑스, 포르투갈, 호주, 캐나다, 중동에서 공격 사례가 기록되었습니다.
악명 높은 공격 캠페인
콜로라도 교통부
2018년 2월, 콜로라도 교통부는 SamSam이 시스템을 암호화하고 비트코인으로 결제를 요구하면서 큰 혼란에 직면했습니다. 이를 거부한 콜로라도 교통부는 복구 작업에 약 170만 달러를 지출했습니다.
애틀랜타 지방 정부
2018년 3월, 애틀랜타 시는 원격 데스크톱 프로토콜(RDP)을 통한 무차별 대입 공격을 통해 SamSam 공격으로 마비되었습니다. 공공 서비스부터 법원 시스템까지 다양한 서비스가 영향을 받았습니다. 공격자들은 5만 1천 달러 상당의 비트코인을 요구했지만, 애틀랜타 시는 이를 거부했고 결국 복구 비용으로 270만 달러를 지출했습니다.
의료 부문 타격
SamSam은 특히 의료 산업을 강타했으며, Allied Physicians of Michiana, Hancock Health, Allscripts 등이 주요 피해자로 지목되었습니다. 2018년 한 해에만 의료 분야가 알려진 SamSam 공격의 4분의 1을 차지했습니다.
SamSam 랜섬웨어는 어떻게 작동하나요?
피싱 이메일이나 악성 첨부 파일을 통해 유포되는 랜섬웨어와 달리, SamSam은 취약한 시스템과 도용된 자격 증명을 활용합니다. 미국 사이버보안 및 인프라 보안국(CISA)에 따르면, 공격자는 Windows 서버의 취약점을 악용하여 다음을 통해 원격으로 접근합니다.
- 노출되었거나 패치되지 않은 RDP 연결
- 구매 또는 무차별 대입을 통해 얻은 로그인 자격 증명
- JBoss 애플리케이션을 위한 JexBoss와 같은 악용 도구
일단 침투하면 공격자는 권한을 상승시키고, 악성코드를 수동으로 배포하고, 중요 파일을 암호화합니다. 이러한 직접적인 접근 방식은 손상된 네트워크 내에서 정밀한 타겟팅과 광범위한 피해를 가능하게 합니다.
몸값 요구서와 지불 전략
암호화가 완료되면 SamSam 공격자는 피해자에게 Tor 기반 포털을 통해 연락하라는 내용의 몸값 요구 메시지를 남깁니다. 몸값은 비트코인으로 요구되며, 일부 피해자는 몸값 지불 후 복호화 키를 받았지만, 공격자가 몸값 지불을 이행할 것이라는 보장은 없습니다.
샘샘은 여전히 위협적인가?
2018년 이후 대대적인 공격이 줄어들고 주요 공격자들이 체포되었지만, 랜섬웨어가 완전히 근절되었다는 증거는 없습니다. 공식적인 복호화 도구가 존재하지 않는다는 것은 SamSam이 여전히 활성 위험으로 간주되어야 한다는 것을 의미합니다.
방어 강화: 최상의 보안 관행
SamSam 감염을 예방하려면 SamSam이 악용하는 취약점을 해결하는 데 중점을 둔 사전 예방적 보안 전략이 필요합니다. 모든 조직이 실행해야 할 필수 단계는 다음과 같습니다.
- RDP 액세스 보안 및 감사
- 필요하지 않으면 RDP를 비활성화하세요.
- 필수 RDP 서비스의 경우 강력한 인증을 시행하고 신뢰할 수 있는 IP 주소로만 액세스를 제한합니다.
- 악용 가능한 결함을 제거하려면 최신 보안 패치를 즉시 적용하세요.
- 최소 권한 원칙을 시행하세요
- 사용자 권한을 필수 기능에만 제한합니다.
- 역할 기반 액세스 제어를 사용하여 단일 계정 침해로 인한 광범위한 피해를 방지하세요.
- 강력한 암호 및 인증 정책 채택
- 강력한 비밀번호 전략에는 다음이 포함되어야 합니다.
- 대문자, 소문자, 숫자, 특수문자를 혼합하여 사용합니다.
- 정기적으로 비밀번호를 변경하고 재사용을 금지합니다.
- 피해야 할 일반적인 실수:
- 다른 사람과 자격 증명을 공유합니다.
- 다중 요소 인증(MFA) 비활성화.
- 보안되지 않은 파일에 비밀번호를 저장합니다.
- 정기적인 백업 유지
- 백업을 오프라인이나 분할된 네트워크에 보관합니다.
- 효과를 보장하기 위해 주기적으로 복구 절차를 테스트하세요.
마지막 생각
SamSam 랜섬웨어는 랜섬웨어 공격이 항상 사용자를 속이는 데 의존하는 것이 아니라, 종종 기술적 취약점을 악용한다는 사실을 강력하게 일깨워줍니다. RDP 연결 보안, 강력한 인증 조치 시행, 적절한 백업 유지에 실패하는 조직은 다음 뉴스 헤드라인을 장식할 위험이 있습니다. 경계, 다층적인 보안 제어, 그리고 숙련된 인력은 진화하는 사이버 위협에 맞서는 최선의 방어책입니다.
메시지
SamSam Ransomware와 관련된 다음 메시지가 발견되었습니다.
|
What happened to your files? All your files encrypted with RSA-2048 encryption, for more information search in Google “RSA encryption” How to recover files? RSA is a asymmetric cryptographic algorithm, you need one key for encryption and one key for decryption so you need private key to recover your files. It’s not possible to recover your files without private key. How to get private key? You can get your private key in 3 easy steps: 1) You must send us 0.8 Bitcoin for each affected PC or 4.5 Bitcoins to receive all private keys for all affected PCs. 2) After you send us 0.8 Bitcoin, leave a comment on our site with this detail: just write your host name in your comment 3) We will reply to your comment with a decryption software, you should run it on your affected PC and all encrypted files will be recovered With buying the first key you will find that we are honest |
