Fed는 TTP의 영역을 실행하는 올바른 Royal 랜섬웨어 난동에 대해 경고합니다.

미국 사이버 보안 및 인프라 보안 기관 스스로를 "미국의 사이버 방어국"이라고 부르는 (CISA)는 방금 공익 광고를 발표했습니다. #랜섬웨어 중지 기치.

이 보고서에는 번호가 매겨져 있습니다. AA23-061a, 그리고 랜섬웨어가 어제의 위협이거나 다른 특정 사이버 공격이 2023년에 목록의 최상위에 있어야 한다고 가정하는 습관에 빠져들었다면 읽을 가치가 있습니다.

2023년에 랜섬웨어 위협에서 눈을 떼고 다음 주제(ChatGPT? 크립토재킹? 키로깅? 소스 코드 도용? 2FA 사기?)에 초점을 맞춤으로써 초래하는 위험은 랜섬웨어가 새로운 공포의 대상이던 몇 년 전만 해도 랜섬웨어에만 집중하기 시작했다면 직면했을 것입니다.

첫째, 하나의 사이버 위협이 감소하는 것처럼 보일 때 실제 이유는 다른 위협이 상대적인 측면에서 증가하고 있다는 사실을 알게 될 것입니다.

사실, 사이버 범죄 X의 명백한 증가와 Y의 명백한 감소는 단순히 이전에 Y를 전문으로 하는 경향이 있는 사기꾼들이 이제는 Y 대신 X뿐만 아니라 X도 수행하고 있다는 것일 수 있습니다.

둘째, 특정 사이버 범죄의 발생률이 완전히 감소한 경우에도 거의 항상 사이버 범죄가 여전히 많이 존재하고 공격을 당하더라도 위험이 줄어들지 않는다는 것을 알게 될 것입니다.

우리가 Naked Security에서 말하고 싶은 것처럼, “그들은 과거를 기억하지 못한다 그것을 반복하도록 정죄받습니다.”

더 로얄 갱

AA23-061a 권고는 다음으로 알려진 랜섬웨어 제품군에 중점을 둡니다. Royal, 그러나 핵심 테이크 아웃 CISA 평이한 말 자문 다음과 같습니다 :

• 이러한 사기꾼은 검증된 방법을 사용하여 침입합니다. 여기에는 피싱(공격의 2/3) 사용, 부적절하게 구성된 RDP 서버(그 중 1/6) 검색, 네트워크에서 패치되지 않은 온라인 서비스 찾기 또는 단순히 이전에 있었던 사기꾼으로부터 액세스 자격 증명 구매가 포함됩니다. 그들을. 생계를 위해 자격 증명을 판매하는 사이버 범죄자(일반적으로 데이터 도둑 및 랜섬웨어 갱단)는 전문 용어로 다음과 같이 알려져 있습니다. IAB, 자기 설명적 용어의 줄임말 초기 액세스 브로커.
• 침입한 범죄자는 분명히 맬웨어로 나타날 수 있는 프로그램을 피하려고 합니다. 그들은 기존 관리 도구를 찾거나 현지인처럼 옷을 입고 말하고 행동하면 의심을 피하는 것이 더 쉽다는 것을 알고 자신의 도구를 가져옵니다. 땅에서 살다. 공격자가 악용하는 합법적인 도구에는 공식적인 원격 액세스, 원격 관리 명령 실행 및 일반적인 시스템 관리자 작업에 자주 사용되는 유틸리티가 포함됩니다. 예를 들면 다음과 같습니다. PsExec Microsoft Sysinternals에서; 그만큼 AnyDesk 원격 액세스 도구; 그리고 마이크로소프트 PowerShell, 모든 Windows 컴퓨터에 사전 설치되어 제공됩니다.
• 파일을 뒤섞기 전에 공격자는 복구 경로를 복잡하게 만들려고 합니다. 예상하셨겠지만 볼륨 섀도 복사본(라이브 Windows "롤백" 스냅샷)을 죽입니다. 그들은 또한 자신의 비공식 관리자 계정을 추가하여 당신이 그들을 쫓아냈을 때 다시 들어갈 수 있고, 보안 소프트웨어의 설정을 수정하여 알람을 끄고, 다른 방법으로는 스크램블할 수 없는 파일을 제어하고, 시스템을 엉망으로 만들 수 있습니다. 나중에 변경된 내용을 파악하기 어렵게 만듭니다.

확실히 하기 위해 이러한 모든 TTP를 방어하는 데 자신감을 키워야 합니다(도구, 기술 및 절차), 특정 공격자가 최종 게임의 일부로 귀하를 협박하려는지 여부.

물론 이 왕실 갱단은 미국 정부의 MITRE ATT&CK 프레임워크에서 겸손한 태그로 식별되는 기술에 매우 관심이 있는 것 같습니다. T1486, 고통스러운 이름으로 표시되어 있습니다. 영향력을 위해 암호화된 데이터.

간단히 말해, T1486은 일반적으로 귀중한 파일을 해독한 대가로 돈을 갈취하고 가능한 한 많은 중단을 만들어 그 어느 때보다 더 세게 압박하여 자신이 할 수 있는 가장 큰 협박 수단을 제공하려는 공격자를 나타냅니다. .

실제로 AA23-061a 게시판은 다음과 같이 경고합니다.

Royal[랜섬웨어 범죄자]는 비트코인으로 약 1만 달러에서 11만 달러에 이르는 몸값을 요구했습니다.

그리고 그들은 일반적으로 더 많은 강탈 압력을 위해 파일을 동결하기 전에 가능한 한 많은 데이터를 훔칩니다(또는 더 정확하게는 무단 사본을 가져옵니다).

피해자의 네트워크에 액세스한 후 Royal 행위자는 바이러스 백신 소프트웨어를 비활성화하고 대량의 데이터를 유출한 후 궁극적으로 랜섬웨어를 배포하고 시스템을 암호화합니다.

무엇을해야 하는가?

Royal gang과 같은 사기꾼은 전문 용어로 다음과 같이 알려져 있습니다. 적극적인 적, 그들은 당신에게 맬웨어를 발사하고 그것이 붙어 있는지 확인하지 않기 때문입니다.

그들은 가능한 한 사전 프로그래밍된 도구와 스크립트를 사용하지만(범죄자들은 ​​누구보다 자동화를 좋아합니다) 각 공격에 개별적으로 주의를 기울입니다.

이것은 그들이 적응력을 높일 뿐만 아니라(더 나쁜 일을 할 수 있는 더 나은 방법을 발견하면 즉시 TTP를 변경함) 더 은밀하게 만듭니다(TTP는 실시간으로 TTP를 조정하여 당신의 방어를 파악합니다) 플레이북).

• 자세히 알아보기 적극적인 적대 플레이북, Sophos Field CTO인 John Shier가 144건의 실제 공격에 대한 흥미로운 연구를 수행했습니다.

---

---

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://nakedsecurity.sophos.com/2023/03/03/feds-warn-about-right-royal-ransomware-rampage-that-runs-the-gamut-of-ttps/