서비스형 랜섬웨어(RaaS)란?
- 누구나 가입해 랜섬웨어 공격을 수행하기 위한 도구를 사용할 수 있는 범죄 기업의 비즈니스 모델
- SaaS(서비스형 소프트웨어) 또는 PaaS(서비스형 플랫폼) 등의 다른 서비스형 모델과 같이 랜섬웨어 서비스 소유X, 임대O
- 랜섬웨어(Ransomware)
- Ransom(몸값) + Software
- Malware(악성 소프트웨어)
- 암호화 통해 피해자의 시스템/파일 잠금(암호화)
- 피해자는 랜섬웨어 공격 배후의 당사자에게 랜섬을 지급해야만 데이터 대한 액세스 권한 찾을 수 있음
서비스형 랜섬웨어의 동작
- 월 정액 구독료, 고객 수익 일정 비율 가져감, 혼합 사용, 일회성 라이선스 요금 청구 등 다양한 수익 모델 사용
- RaaS 고객은 계정 생성 후 첫 결제(보통 비트코인)하면, 사용하려는 malware 유형 선택O
- 피싱 또는 소셜 엔지니어링 캠페인을 사용해 사용자 속여 malware를 실행하도록 유도
- 소셜 엔지니어링 : 사람들이 중요한 정보를 포기하도록 조작하는 행위
- 제로데이 익스플로잇, 백도어 액세스 구매와 비교하면 상당히 저렴함
- 제로데이 익스플로잇(zero-day exploit) : 알려지지 않은, 해결 방법이 없는 보안 취약점을 악용하는 공격 ⇒ 해결책을 마련 할 수 있는 시간이 ‘zero-day’
서비스형 랜섬웨어 공격 예시
- Tox : 2015년, 최초의 RaaS로 인식하고 있음
- LockBit : 오늘날 가장 널리 퍼져 있는 RaaS 변종 중 하나
- 피싱 이메일 통해 확산되는 경우 많음
- LockBit의 배후 갱단은 표적 피해자를 위해 일하는 계열사를 모집해 침투를 더 쉽게하려는 노력
- 다크웹 피해 게시물 수 20% 이상이 LockBit의 소행
- DarkSide : 2021년, 미국 Colonial Pipeline 사이버 공격
- REvil/Sodinokibi : 2021년, JBS USA와 카세야 리미티드 공격
- Ryuk
- Hive
서비스형 랜섬웨어 방어 방법
- 사용자 보안 교육
- 이메일 보안
- 자주 데이터 백업하기
- 정기적 패치 적용
- 보안 툴 사용
- 다단계 인증
- 제로 트러스트 아키텍처
출처
https://www.cloudflare.com/ko-kr/learning/security/ransomware/ransomware-as-a-service/
https://www.ibm.com/kr-ko/topics/ransomware-as-a-service
https://zdnet.co.kr/view/?no=20230417152508
