Traders Ransomware

랜섬웨어는 개인과 조직이 직면한 가장 빠르게 확산되고 파괴적인 위협 중 하나입니다. 단 한 번의 성공적인 침입만으로도 수년간의 작업이 암호화되고, 개인 정보가 노출되며, 막대한 비용 손실을 초래하는 다운타임이 발생할 수 있습니다. 활성 변종에 대한 정보를 지속적으로 파악하고 다층적인 방어 체계를 적용하면 공격의 가능성과 피해를 크게 줄일 수 있습니다.

위협 프로필 - '트레이더'란 무엇인가?

트레이더스는 보안 분석가들이 위협 추적 및 악성코드 조사 과정에서 발견한 파일 암호화 랜섬웨어입니다. 시스템에 침투하면 사용자 데이터를 암호화하고 파일 이름을 변경하여 인질 파일을 표시합니다. 그런 다음 운영자는 복호화 키를 제공하는 대가로 돈을 요구하며, 데이터 유출 위협을 통해 압력을 가합니다.

고유한 파일 마커 - 데이터 이름이 변경되는 방식

암호화 후, Traders는 영향을 받은 각 파일에 피해자별 식별자와 '.traders' 확장자를 추가합니다. 이 패턴에는 피해자 ID가 중괄호로 묶여 포함되어 있어 폴더 전체에서 침해를 쉽게 파악할 수 있습니다. 예를 들면 다음과 같습니다.

• 1.png는 1.png.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders가 됩니다.
• 2.pdf는 2.pdf.{C4FD8BC0-B92C-3E50-0D54-A8AAE232AC39}.traders가 됩니다.

몸값 요구서 - 공격자의 요구 및 주장

트레이더스는 'README.TXT'라는 이름의 메모를 남깁니다. 이 메시지는 문서, 사진, 데이터베이스 및 기타 귀중한 파일이 암호화되었으며, 복구하려면 공격자가 보유한 고유한 개인 키가 필요하다고 주장합니다. 이 메모는 부적절한 도구를 사용하면 데이터가 복구 불가능하게 손상될 수 있다는 경고를 통해 자가 해독 시도를 막습니다. 피해자는 이 메모를 통해 연락할 수 있으며, 이메일 주소('traders@mailum.com'), 그리고 세션 메신저 ID를 통해 협상을 진행할 수 있습니다.

이중 강탈 - 레버리지로서의 데이터 도용

암호화 외에도, 해당 문서는 탈취된 데이터가 결제되지 않을 경우 판매되거나 공개될 것이라고 위협합니다. 이러한 '이중 갈취' 전술은 평판, 법적 위험, 개인정보 보호 위험을 가중시켜 백업에 의존하는 피해자들을 압박하려는 것입니다.

회복의 현실 - 실제로 도움이 되는 것

최신 랜섬웨어에 의해 잠긴 파일은 공격자의 복호화 도구 없이는 복구가 불가능합니다. 실질적인 복구 경로는 사고 당시 접근이 불가능했던 깨끗한 오프라인 백업으로 제한됩니다. 몸값을 지불하는 것은 강력히 권장되지 않습니다. 제대로 작동하는 복호화 도구를 받을 수 있다는 보장이 없으며, 몸값 지불은 추가적인 범죄 행위를 부추길 수 있습니다.

봉쇄 및 근절 - 즉각적인 조치

Traders가 탐지되면, 추가 암호화 및 측면 확산을 막기 위해 영향을 받은 시스템을 즉시 네트워크에서 격리하십시오. 랜섬웨어 메시지, 암호화된 파일 샘플, 관련 로그 등 포렌식 자료를 보관하십시오. 평판이 좋은 맬웨어 방지/EDR 솔루션을 사용하여 페이로드와 모든 지속성 메커니즘을 제거하십시오. 제거 후에는 손상된 시스템을 재구축하거나 리이미징하고, 자격 증명을 교체하고, 액세스 키와 토큰을 감사하십시오. 그런 후에야 재감염 여부를 면밀히 모니터링하면서 검증된 백업에서 데이터 복원을 시작해야 합니다.

초기 접근 및 전달 - 트레이더가 시스템에 도달하는 방법

많은 랜섬웨어 계열과 마찬가지로 Traders는 여러 채널을 통해 유포됩니다. 일반적인 진입점으로는 악성 이메일 첨부 파일이나 링크, 트로이 목마 또는 불법 복제 소프트웨어(키젠 및 크랙 포함), 가짜 기술 지원 미끼, 패치되지 않은 취약점 악용 등이 있습니다. 위협 행위자는 또한 멀버타이징, 침해되었거나 유사 웹사이트, 감염된 이동식 미디어, P2P 네트워크, 타사 다운로드 포털, 실행 가능한 설치 프로그램, 매크로나 스크립트가 포함된 Office 또는 PDF 문서, 그리고 드로퍼를 압축 해제하는 압축 파일(ZIP/RAR)과 같은 함정이 있는 파일 형식을 악용합니다.

방어 강화 - 필수 보안 관행

• 오프라인 백업을 유지하세요.
• 신속하게 패치하세요. 인터넷 연결 서비스를 우선적으로 처리하고, 가능한 경우 자동 업데이트를 활성화하세요.
• 실시간 보호, 동작 차단, 폴더 액세스 제어 기능을 갖춘 평판 좋은 보안 소프트웨어를 배포하세요.
• RDP 및 원격 액세스를 강화하세요. 불필요한 경우 비활성화하고, 허용 목록/VPN으로 제한하고, MFA를 요구하고, 무차별 대입 공격이나 비정상적인 로그인을 모니터링하세요.
• 위험한 매크로와 스크립트를 비활성화하세요. 인터넷에서 Office 매크로를 차단하고, 관리자가 아닌 사용자에게는 PowerShell을 제한된 언어 모드로 제한하고, 스크립트 실행을 감사하세요.
• 브라우저와 다운로드를 안전하게 보호하세요. 평판이 좋은 서비스만 사용하고, 알려진 악성 도메인은 차단하고, 타사 다운로더와 P2P 소스는 피하세요.

마지막 생각

트레이더스 랜섬웨어는 강력한 암호화와 갈취 압력을 결합하므로, 철저한 대비가 최선의 방어책입니다. 시스템 패치 적용, 최소 권한 접근 권한 적용, 강력한 엔드포인트 보호 구축, 네트워크 분할, 그리고 가장 중요한 것은 검증된 오프라인 백업 유지입니다. 이미 피해를 입었다면, 보상보다는 격리 및 전문적인 복구에 집중하십시오.