RaaS

IT 위키
(서비스형 랜섬웨어에서 넘어옴)

Ransomware as a Service

RaaS란 다크웹과 같은 익명 네트워크를 이용하여 비용만 지급하면 랜섬웨어 공격을 할 수 있게끔 서비스 형태로 제공되는 랜섬웨어를 말한다.

특징[편집 | 원본 편집]

이원화 제작자와 공격자가 따로 존재
수익 공유 랜섬웨어 공격을 한 후 그 수익금을 제작자와 분배하는 방식
사후관리 랜섬웨어 제공부터 유포 및 업데이트까지 제공

공격 수행 과정[편집 | 원본 편집]

순서 공격방식 설명
1 랜섬웨어 구매의뢰 공격자는 제작자에서 랜섬웨어를 구매의뢰함
2 랜섬웨어 Tool 제공 제작자는 공격자에게 랜섬웨어 코드나 Tool을 제공
3 공격 및 금전요구 공격자는 피해자의 자료 암호화 후 복호화를 대가로 금전요구
4 비트코인 제공 복호화 키를 받는 조건으로 비트코인 등 대가를 지급하는 경우
5 수익금 배분 수익금에 대하여 일정비율로 분배함
6 업데이트 제공 지속적으로 업데이트 및 애프터서비스 지원

종류[편집 | 원본 편집]

랜섬웨어 명 설명
케르베르

(Cerber)

  • 2016년 3월 처음 발생
  • 파일과 데이터를 암호화하고 음성으로 피해자에게 금전 요구
  • 무작위 숫자+영문자를 포함한 4글자 확장자로 암호화
사탄

(Satan)

  • 제작자는 별도 비용 없이 랜섬웨어 코드 제공
  • 개인용 PC에 존재하는 파일들을 .stn이라는 확장자로 암호화
  • 공격자는 피해자가 금전을 지불하면 30%를 제작자에게 수수료로 지급
스템파도

(Stampado)

  • 2016년 7월 발견
  • 39달러를 받고 공격자에게 스템파도 악성코드를 제공
  • 안티바이러스 제품의 탐지망을 피하는 기능
  • 케르베르 등 다른 랜섬웨어에 감염돼 암호화된 파일을 다시 암호화
필라델피아

(Philadelphia)

  • 2016년 9월 발견
  • 오토잇(AutoIt) 스크립트 언어를 통해 제작 가능
  • 상용 제작툴을 이용해 암호화할 확장자 등 설정가능
  • 선다운(sundown) 익스플로잇킷을 통해 국내 유포

대응 방안[편집 | 원본 편집]

기존 랜섬웨어와 동일

대응방안 상세 내역
백업 수행 필요시 롤백할 수 있도록 지속적 스냅샷 및 백업 수행
사용자 교육 수행 지속적인 보안인식 교육/ 보안인식 취약점 개선활동 수행
악성메일/압축파일 주의 출처확인 및 lnk 파일 열람금지
최신패치 작업수행 최신 패치를 확인하여 누락되지 않게 설치 및 관리
화이트리스트 기반관리 사용자 접속/프로세스 실행을 원천적으로 차단하는 방식

참고 문헌[편집 | 원본 편집]