젊은 엔지니어의 기회주의 도메인 등록으로 중단 된 글로벌 ransomware 사이버 공격

젊은 엔지니어의 기회주의 도메인 등록으로 중단 된 글로벌 ransomware 사이버 공격

전세계의 악성 소프트웨어를 확산시키고 병원, 은행 및 정부 기관에서 네트워크를 차단하는 사이버 공격은 영국의 젊은 연구원과 저렴한 도메인 등록으로 인해 발생했으며 20 여명의 보안 엔지니어가 도움을 받았습니다.

키 포인트:

• 영국 엔지니어가 맬웨어 코드에서 발견 된 도메인을 등록하여 숨겨진 '킬 스위치'를 실수로 활성화했습니다.
• 행동으로 기업과 정부가 수백만 달러를 절약 할 수 있습니다.
• 공격자는 패치되지 않은 컴퓨터에서 악성 코드를 쉽게 다시 활성화 할 수 있습니다.

영국의 국가 사이버 보안 센터 및 다른 사람들은 22 세의 온라인 보안 전문가 인 MalwareTech를 만난 적이 있는데, 처음에는 실수로 전례없는 발발을 중단시킨 "킬 스위치 (kill switch)"를 발견했다.

그때까지, "ransomware"공격은 컴퓨터 사용자들로부터 돈을 빼앗 으려고 여러 나라의 영국 병원 네트워크와 컴퓨터 시스템을 혼란스럽게 만들었습니다.

사이버 범죄 : 왜 신경 써야합니까

인터넷에 연결된 모든 개인과 조직은 사이버 공격에 취약하며 위협이 커지고 있습니다.

그러나 연구원의 조치로 인해 기업과 정부가 수백만 달러의 비용을 절감하고 미국 컴퓨터가 더 많은 영향을 받기 전에 발병이 지연 될 수있었습니다.

멀웨어 테크 (MalwareTech)는 금요일 토요일 블로그 포스트에서 친구와 함께 점심 식사를 마치고 돌아와 영국 건강 시스템의 네트워크가 ransomware에 치여 졌다는 사실을 알게되었다.

그는 악의적 인 소프트웨어의 샘플을 분석하기 시작했으며 코드에 등록되지 않은 숨겨진 웹 주소가 있음을 발견했습니다.

그는 도메인에 "신속하게"등록했는데, 정기적으로 주소에 대해 10.69 달러를 지불하면서 악의적 인 소프트웨어를 추적하는 방법을 찾기 위해 정기적으로 시도합니다.

바다의 맞은 편에, 다리 엔 후스, 사이버 보안 회사 인 프루프 포인트의 28 세 연구 엔지니어는 자신의 분석을하고 있었다.

미시간 주 서부 거주자는 악성 코드의 작성자가 킬 스위치 (kill switch)라고 알려진 기능을 사용하고 있음을 확인했다고 전했다. Huss는 그의 발견에 대한 스크린 샷을 찍어 Twitter에서 공유했습니다.

멀웨어 테크 (Malware Tech)와 후스 (Huss)는 대규모 글로벌 사이버 보안 커뮤니티의 일원으로서 자주적으로 또는 공격을 지속적으로 감시하고 이들을 막거나 막기 위해 협력하며 종종 트위터를 통해 정보를 공유합니다.

보복 공격이나 개인 정보 보호를 위해 별칭을 사용하는 것은 드문 일이 아닙니다.

곧 Huss와 MalwareTech는 도메인 이름을 등록하고 MalwareTech의 서버로 공격을 리디렉션하면 kill 스위치가 활성화되어 ransomware의 감염을 막음으로써 "싱크 홀 (sinkhole)"이라고 불리는 것을 만듭니다.

MalwareTech는 웹 주소가 코드에서 "상당히 명백"하다고 말했지만 공격 뒤에 숨겨진 사람들이 ransomware 확산을 막을 수 있다는 것을 모른다고 의심했다.

공격은 새 코드로 다시 활성화 될 수 있습니다.

이 공격의 물결을 저지른 사람은 아직 알려지지 않았습니다. 카스퍼 스키 랩 (Kaspersky Lab)과 Avast (AVast)의 두 보안 회사는 70 개국 이상에서 악성 소프트웨어를 확인했다고 밝혔습니다. 두 나라 모두 러시아가 가장 타격을 입었다 고 밝혔다.

공격은 어떻게 발생 했습니까?

• 공격은 Microsoft Windows의 이전 버전의 취약점을 이용하는 자체 복제 소프트웨어로 인해 발생했다고 보안 전문가는 말합니다
• 노출 된 타겟을 발견하면 컴퓨터에서 컴퓨터로 확산됩니다.
• 랜덤 (Ransom) 요구는 US300 달러부터 시작하여 2 시간 후에 증가 할 것으로 카스퍼 스키 랩의 보안 연구원은 말합니다
• 보안 구멍은 몇 주 전에 TheShadowBrokers가 NSA에서 사용하는 해킹 도구라고 반복적으로 발표 한 신비한 그룹에 의해 공개되었습니다.
• 이 공개 직후, Microsoft는이 구멍에 대해 소프트웨어 "패치"를 이미 발표했다고 발표했습니다.
• 그러나 많은 기업과 개인이 수정 프로그램을 아직 설치하지 않았거나 더 이상 지원하지 않는 패치가없는 이전 버전의 Windows를 사용하고 있습니다.

MalwareTech는 "우리의 싱크 홀링 (sinkholing)은이 샘플을 멈추게하고 도메인 검사를 제거하고 다시 시도하는 것을 멈추게하는 것이 없으므로 패치되지 않은 시스템에 가능한 빨리 패치를 적용하는 것이 매우 중요합니다"라고 경고했습니다.

그는 또한 소프트웨어의 버전 1이 멈출 수있는 동안 후속 버전은 "결함을 제거 할 것"이라고 트위터를 맺었다.

"최대한 빨리 패치한다면 당신은 안전합니다."

킬 스위치는 이미 감염된 사람들을 도울 수 없습니다. 지불의 부족, 이러한 개인 및 회사에 대한 옵션은 일반적으로 백업에서 데이터 파일을 복구하는 것 (사용 가능한 경우) 또는 사용하지 않는 경우에만 제한됩니다.

보안 전문가들은 직원들이 전자 메일 첨부 파일을 클릭 할 때 회사에 들어가고 직원들이 문서를 공유 할 때 신속하게 확산되는 자체 복제 소프트웨어가 원인 인 것으로 보인다고 전했다.

보안 취약점은 몇 주 전에 신비한 해킹 그룹 인 TheShadowBrokers에 의해 공개되었습니다.

Microsoft는 신속하게 이러한 문제를 해결하기 위해 "패치"소프트웨어를 발표했지만 많은 사용자가 여전히 Microsoft가 더 이상 지원하지 않는 업데이트를 설치하지 않았거나 이전 버전의 Windows를 계속 사용합니다.

Proofpoint의 Ryan Kalember는 MalwareTech가 "당일의 우발적 인 영웅 상"을 얻었습니다, Guardian은 보도했습니다.

그러나 젊은 영국 연구원은 다르게 말했다 : "나는 영웅이 아니라, 그가 할 수있는 일을하는 사람이다."