랜섬웨어란 무엇입니까?

랜섬웨어란 무엇인가?

랜섬웨어는 피해자의 데이터나 디바이스를 잠그고 피해자가 공격자에게 몸값을 지불하지 않으면 잠금을 풀어주지 않거나 더 손상시키겠다고 협박하는 악성 코드입니다.

IBM Security X-Force Threat Intelligence Index 2023에 따르면 랜섬웨어 공격은 2022년 전체 사이버 공격의 17%를 차지했습니다 .

가장 초기의 랜섬웨어 공격은 단순히 영향을 받는 데이터에 대한 액세스 권한을 다시 얻거나, 감염된 장치를 사용하는 데 필요한 키를 대가로 몸값을 요구했습니다. 조직은 정기적이거나 지속적인 데이터 백업을 통해 이러한 유형의 랜섬웨어 공격으로 인한 비용을 제한하고 많은 경우 몸값 요구를 피할 수 있습니다.

그러나 최근 몇 년 동안 랜섬웨어 공격은 이중 갈취 및 삼중 갈취 공격으로 진화하여 위험 수위를 상당히 높였습니다. 데이터 백업을 엄격하게 유지 관리하거나 초기 랜섬 요구를 지불하는 피해자조차도 위험에 처해 있습니다. 이중 갈취 공격은 피해자의 데이터를 훔쳐 온라인에 유출하는 위협을 더합니다. 또한, 삼중 갈취 공격은 탈취한 데이터를 사용하여 피해자의 고객이나 비즈니스 파트너를 공격하는 위협을 가합니다.

2023년 X-Force Threat Intelligence Index에 따르면 모든 사이버 보안 사고에서 랜섬웨어가 차지하는 비율은 2021년부터 2022년까지 4% 감소했습니다. 이는 방어자들이 랜섬웨어 공격을 더 성공적으로 탐지하고 차단했기 때문일 수 있습니다. 그러나 이러한 긍정적인 결과는 평균 공격 일정이 2개월에서 4일 미만으로 94% 단축되면서 무색해졌습니다. 이로 인해 조직은 잠재적 공격을 탐지하고 차단할 시간이 거의 없습니다.

랜섬웨어 피해자와 협상자들은 몸값 지불 금액을 공개하는 것을 꺼려합니다. 그러나 랜섬웨어에 대한 완벽 가이드에 따르면 몸값 요구는 7자리 및 8자리 숫자로 증가했습니다. 그리고 몸값 지불은 랜섬웨어 감염의 총 비용의 일부일 뿐입니다. IBM의 2023년 데이터 유출 비용 보고서에 따르면 랜섬웨어 공격으로 인한 데이터 유출의 평균 비용은 513만 달러였습니다. 랜섬웨어 공격으로 인해 피해자는 2023년에 총 300억 달러의 피해를 입을 것으로 예상됩니다(ibm.com 외부 링크).

IBM 랜섬웨어 가이드

랜섬웨어에 대한 IBM의 최종 가이드를 통해 사이버 범죄의 최신 동향을 파악하세요.

관련 내용

데이터 유출 비용 보고서 등록

랜섬웨어의 유형

랜섬웨어에는 두 가지 일반적인 유형이 있습니다. 암호화 랜섬웨어 또는 암호화 랜섬웨어라고 하는 가장 일반적인 유형은 피해자의 데이터를 암호화하여 인질로 잡습니다. 이후, 공격자는 데이터 암호 해독에 필요한 키를 제공하는 대가로 몸값을 요구합니다.

암호화되지 않은 랜섬웨어 또는 화면 잠금 랜섬웨어라고 하는 덜 일반적인 형태의 랜섬웨어는 일반적으로 운영 체제에 대한 액세스를 차단하여 피해자의 전체 장치를 잠급니다. 평소와 같이 시작하는 대신 장치는 몸값을 요구하는 화면을 표시합니다.

이 두 가지 유형은 다음 하위 카테고리로 더욱 자세히 나눌 수 있습니다.

Leakware/Doxware는 민감한 데이터를 훔치거나 유출하여 게시하겠다고 위협하는 랜섬웨어입니다. 이전 형태의 리크웨어 또는 독스웨어는 데이터를 암호화하지 않고 훔치는 경우가 많았지만 오늘날의 변형은 두 가지를 모두 수행하는 경우가 많습니다.
모바일 랜섬웨어에는 모바일 장치에 영향을 미치는 모든 랜섬웨어가 포함됩니다. 악성 또는 드라이브 바이 다운로드를 통해 전달되는 랜섬웨어는 일반적으로 암호화되지 않는 랜섬웨어로, 많은 장치에서 표준으로 사용되는 자동화된 데이터 백업을 통해 공격을 쉽게 되돌릴 수 있습니다.
와이퍼/파괴적 랜섬웨어는 몸값을 지불하더라도 랜섬웨어가 데이터를 파괴하는 경우를 제외하고 몸값을 지불하지 않으면 데이터를 파괴하겠다고 위협합니다. 후자 유형의 와이퍼는 대부분 일반적인 것이 아니라 국가 행위자 또는 활동가에 의한 것으로 의심됩니다.
스케어웨어는 말 그대로 사용자를 겁주어 몸값을 지불하도록 유도하는 랜섬웨어입니다. 스케어웨어는 법 집행 기관의 메시지로 가장하여 피해자를 범죄 혐의로 고발하고 벌금을 요구할 수 있습니다. 또는 합법적인 바이러스 감염 경고를 스푸핑하여 피해자가 바이러스 백신 또는 멀웨어 방지 소프트웨어를 구입하도록 유도할 수 있습니다. 스케어웨어는 때로는 데이터를 암호화하거나 디바이스를 잠그는 랜섬웨어인 경우도 있고, 아무것도 암호화하지 않고 피해자에게 랜섬웨어를 다운로드하도록 강요하는 랜섬웨어 벡터인 경우도 있습니다.

2023 랜섬웨어 완벽 가이드 등록

랜섬웨어가 시스템 또는 장치를 감염시키는 방법

랜섬웨어 공격은 여러 방법 또는 벡터를 사용하여 네트워크 또는 장치를 감염시킬 수 있습니다. 가장 대표적인 랜섬웨어 감염 벡터는 다음과 같습니다.

피싱 이메일 및 기타 소셜 엔지니어링 공격: 피싱 이메일은 사용자가 악성 첨부 파일을 다운로드하고 실행하도록 조작합니다. 이 첨부 파일에는 해가 없어 보이는 .pdf, Microsoft Word 문서 또는 기타 파일로 위장한 랜섬웨어가 포함되어 있을 수 있습니다. 또한 사용자의 웹 브라우저를 통해 랜섬웨어를 전달하는 악성 웹 사이트를 방문하도록 사용자를 유인할 수 있습니다. IBM의 Cyber Resilient Organization Study 2021에서 피싱 및 기타 소셜 엔지니어링 전술은 설문 조사 참가자가 보고한 전체 랜섬웨어 공격의 45%를 일으켜 모든 랜섬웨어 공격 벡터 중 가장 흔한 것으로 나타났습니다.
운영 체제 및 소프트웨어 취약점: 사이버 범죄자는 기존 취약점을 악용하여 장치나 네트워크에 악성 코드를 삽입하는 경우가 많습니다. 보안 커뮤니티에 알려지지 않았거나 식별되었지만 아직 패치되지 않은 취약점인 제로데이 취약점은 특정 위협을 제기합니다. 일부 랜섬웨어 조직은 공격을 계획하기 위해 다른 해커로부터 제로데이 결함에 대한 정보를 구매합니다. 해커는 또한 2017년 WannaCry 공격의 경우와 같이 패치된 취약점을 공격 벡터로 효과적으로 사용하기도 했습니다.

자격 증명 도용: 사이버 범죄자는 승인된 사용자의 자격 증명을 도용하거나, 다크 웹에서 구매하거나, 무차별 대입으로 해킹할 수 있습니다. 이후,그런 다음 이러한 자격 증명을 사용하여 네트워크 또는 컴퓨터 및 랜섬웨어에 직접 로그인할 수 있습니다. 사용자가 컴퓨터에 원격으로 액세스할 수 있도록 Microsoft에서 개발한 독점 프로토콜인 RDP(원격 데스크톱 프로토콜)는 랜섬웨어 공격자들 사이에서 인기 있는 자격 증명 도용 대상입니다.
기타 멀웨어: 해커는 대부분 다른 공격을 위해 개발된 멀웨어를 사용하여 장치에 랜섬웨어를 전달합니다. 예를 들어, 원래 은행 자격 증명을 훔치기 위해 설계된 Trickbot 트로이 목마는 2021년 내내 Conti 랜섬웨어 변종을 확산하는 데 사용되었습니다.
드라이브 바이 다운로드: 해커는 웹 사이트를 사용하여 사용자 모르게 장치에 랜섬웨어를 전달할 수 있습니다. 취약성 키트는 손상된 웹 사이트를 사용하여 방문자의 브라우저에서 장치에 랜섬웨어를 주입하는 데 사용할 수 있는 웹 애플리케이션 취약성을 검사합니다. 멀버타이징이란 해커에 의해 손상된 합법적인 디지털 광고로, 사용자가 광고를 클릭하지 않더라도 랜섬웨어를 장치에 전달할 수 있습니다.

사이버 범죄자는 이러한 벡터를 악용하기 위해 반드시 자체 랜섬웨어를 개발할 필요는 없습니다. 일부 랜섬웨어 개발자는 서비스형 랜섬웨어(RaaS)를 통해 사이버 범죄자들과 멀웨어 코드를 공유합니다. 사이버 범죄자 또는 '제휴자'는 코드를 사용하여 공격을 수행한 다음 개발자에게 몸값을 분배합니다. 상호 이익이 되는 관계입니다: 제휴사는 멀웨어를 직접 개발하지 않고도 갈취를 통해 수익을 얻을 수 있고, 개발자는 추가적인 사이버 공격을 실행하지 않고도 수익을 높일 수 있습니다.

랜섬웨어 배포자는 디지털 마켓플레이스를 통해 랜섬웨어를 판매하거나 온라인 포럼 또는 이와 유사한 경로를 통해 직접 계열사를 모집할 수 있습니다. 대규모 랜섬웨어 그룹은 계열사를 유치하기 위해 상당한 금액을 투자했습니다.

랜섬웨어 공격 단계

랜섬웨어 공격은 일반적으로 다음 단계를 거쳐 진행됩니다.

1단계: 초기 액세스

랜섬웨어 공격의 가장 일반적인 액세스 벡터는 계속해서 피싱 및 취약성 악용입니다.

2단계: 악용 후

초기 액세스 벡터에 따라 두 번째 단계에서는 대화형 액세스 권한을 설정하기 전에 중개 원격 액세스 툴(RAT) 또는 멀웨어가 개입될 수 있습니다.

3단계: 이해 및 확장

공격의 세 번째 단계에서 공격자는 현재 액세스할 수 있는 로컬 시스템과 도메인을 이해하는 데 집중합니다. 공격자는 또한 다른 시스템 및 도메인에 대한 액세스 권한을 얻기 위해 노력합니다( 측면 이동이라고 함).

4단계: 데이터 수집 및 유출

여기에서 랜섬웨어 배포자는 일반적으로 자신을 위해 사본을 다운로드하거나 내보내는 방식으로 귀중한 데이터를 식별하고 유출(훔침)하는 데 초점을 맞춥니다. 공격자는 액세스할 수 있는 모든 데이터를 유출할 수 있지만 일반적으로 이중 갈취에 사용할 수 있는 로그인 자격 증명, 고객의 개인 정보, 지적 재산과 같은 특히 중요한 데이터에 중점을 둡니다.

5단계: 메모 배포 및 전송

암호화 랜섬웨어는 파일을 식별하고 암호화하기 시작합니다. 일부 암호화 랜섬웨어는 시스템 복원 기능을 비활성화하거나 피해자의 컴퓨터 또는 네트워크에서 백업을 삭제하거나 암호화하여 암호 해독 키에 대한 지불 관련 압력을 높이기도 합니다. 암호화되지 않은 랜섬웨어는 장치 화면을 잠그거나, 장치에 팝업을 넘치도록 띄우거나 피해자가 장치를 사용하지 못하게 합니다.

파일이 암호화되거나 장치가 비활성화되면 랜섬웨어는 피해자에게 감염 사실을 경고합니다. 이 알림은 대개 컴퓨터 바탕화면에 저장된 .txt 파일이나 팝업을 통해 이루어집니다. 랜섬 노트에는 일반적으로 암호화폐 또는 이와 유사하게 추적할 수 없는 방법으로 몸값을 지불하는 방법에 대한 지침이 포함되어 있습니다. 지불은 암호 해독 키 또는 표준 운영의 복원과 교환하여 이루어집니다.

주목할 만한 랜섬웨어 변형

2020년부터 사이버 보안 연구원들은 130개 이상의 고유한 활성 랜섬웨어 제품군 또는 변형, 즉, 고유한 코드 서명과 기능을 가진 고유한 랜섬웨어 변형을 식별했습니다.

수년에 걸쳐 많은 랜섬웨어 변종이 유포되었습니다. 몇 가지 변형은 파괴의 정도, 랜섬웨어 개발에 어떤 영향을 미쳤는지 또는 오늘날에도 여전히 제기하는 위협으로 인해 특히 주목할 만합니다.

CryptoLocker

2013년 9월에 처음 등장한 CryptoLocker는 현대 랜섬웨어 시대를 열었다는 평가를 받고 있습니다. 봇넷(하이재킹된 컴퓨터 네트워크)을 사용하여 확산된 CryptoLocker는 사용자 파일을 강력하게 암호화한 최초의 랜섬웨어 중 하나였습니다. 2014년 국제 법 집행 기관의 노력으로 중단시키기 전까지 약 300만 달러를 갈취했습니다. CryptoLocker의 성공으로 수많은 모방 멀웨어가 탄생했으며 WannaCry, Ryuk, Petya와 같은 변형의 기반이 마련되었습니다.

WannaCry

세간의 이목을 끄는 최초의 크립토웜이자 네트워크상의 다른 장치로 확산될 수 있는 랜섬웨어인 WannaCry는 150개 국가에서 200,000대 이상의 컴퓨터를 공격했습니다. 영향을 받은 컴퓨터는 관리자가 EternalBlue Microsoft Windows 취약점에 대한 패치를 소홀히 했기 때문에 취약한 상태였습니다. WannaCry 랜섬웨어는 민감한 데이터를 암호화하는 것 외에도 7일 이내에 결제가 이루어지지 않으면 파일을 지우겠다고 위협했습니다. 현재까지 가장 큰 랜섬웨어 공격 중 하나로 추정되는 비용은 미화 40억 달러에 달합니다.

Petya 및 NotPetya

다른 암호화 랜섬웨어와 달리 Petya는 개별 파일이 아닌 파일 시스템 테이블을 암호화하여 감염된 컴퓨터가 Windows를 부팅할 수 없도록 합니다. 크게 수정된 버전인 NotPetya는 2017년 주로 우크라이나에 대한 대규모 사이버 공격을 수행하는 데 사용되었습니다. NotPetya는 몸값을 지불한 후에도 시스템을 잠금 해제할 수 없는 와이퍼였습니다.

Ryuk

2018년에 처음 발견된 Ryuk은 특정 고부가가치 대상에 대한 '대형 랜섬웨어' 공격을 대중화했으며 몸값 요구액은 평균 100만 달러 이상이었습니다. Ryuk은 백업 파일 및 시스템 복원을 찾아 비활성화할 수 있습니다. 크립토웜 기능을 가진 새로운 변형이 2021년에 발견되었습니다.

DarkSide

러시아에서 활동하는 것으로 의심되는 그룹이 운영하는 DarkSide는 2021년 5월 7일 미국 콜로니얼 파이프라인을 공격한 랜섬웨어 변종입니다. 이 변종은 현재까지 미국의 주요 인프라에 대한 최악의 사이버 공격으로 간주됩니다. 그 결과, 미국 동부 해안 연료의 45%를 공급하는 파이프라인이 일시적으로 폐쇄되었습니다. 직접 공격을 시작하는 것 외에도 DarkSide 그룹은 RaaS 계약을 통해 계열사에 랜섬웨어 라이선스를 부여합니다.

Locky

Locky는 고유한 감염 방법을 가진 암호화 랜섬웨어로, 합법적인 송장으로 위장한 첨부 파일(Microsoft Word 파일)에 숨겨진 매크로를 사용합니다. 사용자가 Microsoft Word 문서를 다운로드하여 열면 악성 매크로가 랜섬웨어 페이로드를 사용자의 장치에 몰래 다운로드합니다.

REvil/Sodinokibi

Sodin 또는 Sodinokibi라고도 하는 REvil은 랜섬웨어 배포에 대한 RaaS 접근 방식을 대중화하는 데 도움을 주었습니다. 대형 사냥 및 이중 갈취 공격에 사용되는 것으로 알려진 REvil은 주목할만한 JBS USA 및 Kaseya Limited에 대한 2021년 공격의 배후에 있었습니다. JBS는 미국산 쇠고기 가공이 중단된 후 1,100만 달러의 몸값을 지불했으며 Kaseya의 소프트웨어 고객 중 1,000명 이상이 상당한 영향을 받았습니다. 러시아 연방 보안국(Federal Security Service)은 2022년 초에 REvil을 해체하고 여러 회원을 기소했다고 보고했습니다.

Ransom payments

2022년까지 대부분의 랜섬웨어 피해자는 공격자의 몸값 요구에 응했습니다. 예를 들어, IBM의 Cyber Resilient Organization Study 2021에서는 연구 후 2년 이내에 랜섬웨어 공격을 경험한 참여 기업의 61%가 몸값을 지불했다고 말했습니다.

그러나 최근 보고서에 따르면 2022년에는 변화가 있을 것으로 예상됩니다. 사이버 갈취 사고 대응 회사인 Coveware는 2022년 랜섬웨어 피해자의 41%만이 몸값을 지불했으며 이는 2021년 51%, 2020년 70%와 비교됩니다(ibm.com 외부 링크). 또한, 블록체인 데이터 플랫폼 제공업체 Chainanalysis는 랜섬웨어 공격자들이 2021년보다 2022년에 피해자로부터 약 40% 더 적은 돈을 갈취했다고 보고했습니다(ibm.com 외부 링크). 전문가들은 이러한 반전의 잠재적 동인으로 더 나은 사이버 범죄 대비(데이터 백업 포함)와 위협 예방 및 탐지 기술에 대한 투자 증가를 지적합니다.

법 집행 지침

미국 연방 법 집행 기관은 랜섬웨어 피해자는 어떤 이견도 없이 몸값을 지불하지 말라고 말합니다. 국립 사이버 수사 합동 태스크 포스(NCIJTF)에 따르면 사이버 위협 조사를 담당하는 20개 미국 연방 기관의 협력 연합은 다음과 같습니다.

"FBI는 범죄 행위자에게 몸값을 지불하는 것을 권장하지 않습니다. 몸값을 지불하면 공격자가 추가 조직을 표적으로 삼거나, 다른 범죄 행위자가 랜섬웨어 배포에 가담하도록 부추기거나, 불법 활동에 자금을 지원할 수 있습니다. 몸값을 지불한다고 해서 피해자의 파일이 복구된다는 보장도 없습니다."

법 집행 기관은 랜섬웨어 피해자가 몸값을 지불하기 전에 FBI의 인터넷 범죄 신고 센터(IC3)와 같은 해당 기관에 공격을 보고할 것을 권장합니다. 랜섬웨어 공격의 일부 피해자는 몸값 지불 여부와 관계없이 법적으로 랜섬웨어 감염을 보고해야 할 수 있습니다. 예를 들어, HIPAA 규정은 일반적으로 의료 기관이 랜섬웨어 공격을 포함한 모든 데이터 유출을 보건복지부에 보고하도록 규정하고 있습니다.

특정 상황에서는 몸값을 지불하는 것이 불법일 수 있습니다. 미국 재무부 해외통제국(OFAC)의 2020년 권고에 따르면 러시아, 북한, 이란과 같이 미국의 경제 제재를 받는 국가의 공격자에게 몸값을 지불하는 것은 OFAC 규정을 위반하는 것이며 위반자는 민사 처벌, 벌금, 형사 고발을 당할 수 있습니다.

랜섬웨어 보호 및 대응

랜섬웨어 위협으로부터 방어하기 위해 CISA, NCIJFT, U.S. Secret Service와 같은 연방 기관은 조직이 다음과 같은 특정 예방 조치를 취할 것을 권장합니다.

민감한 데이터와 시스템 이미지의 백업은 네트워크에서 분리할 수 있는 하드 드라이브나 기타 장치에 보관하는 것이 이상적입니다.
정기적으로 패치를 적용하여 소프트웨어 및 운영 체제 취약점에 대한 랜섬웨어 공격을 차단합니다.
맬웨어 방지 및 바이러스 백신 소프트웨어, 방화벽, 네트워크 모니터링 도구 및 보안 웹 게이트웨이를 포함한 사이버 보안 도구를 업데이트합니다. 또한 보안 오케스트레이션, 자동화 및 대응(SOAR), 엔드포인트 탐지 및 대응(EDR), 보안 정보 및 이벤트 관리(SIEM) , 확장 탐지 및 대응(XDR)과 같은 엔터프라이즈 사이버 보안 솔루션을 사용합니다. 이러한 솔루션은 보안 팀이 실시간으로 랜섬웨어를 탐지하고 대응하는 데 도움이 됩니다.
직원 사이버 보안 교육 사용자가 랜섬웨어 감염으로 이어질 수 있는 피싱, 사회 공학, 기타 전술을 인식하고 피할 수 있도록 지원합니다.
다단계 인증, 제로 트러스트 아키텍처, 네트워크 세분화 및 이와 유사한 조치를 포함한 액세스 제어 정책을 구현합니다. 이러한 조치를 통해 랜섬웨어가 특히 민감한 데이터에 도달하는 것을 방지하고 크립토웜이 네트워크의 다른 디바이스로 확산되는 것을 방지할 수 있습니다.

일부 랜섬웨어 변종에 대한 암호 해독 도구는 No More Ransom (ibm.com 외부 링크)과 같은 프로젝트를 통해 공개적으로 사용할 수 있지만 활성 랜섬웨어 감염에는 다각적인 접근 방식이 필요한 경우가 많습니다. 미국 국립표준기술연구소(NIST)의 사고 대응 수명 주기를 모델로 한 랜섬웨어 사고 대응 계획의 예시로 IBM Security의 랜섬웨어에 대한 완벽 가이드를 참조하세요.

랜섬웨어 타임라인 요약

1989년: AIDS 트로이 목마 또는 'P.C. 사이보그 공격'이라고 알려진 첫 문서화된 랜섬웨어 공격은 플로피 디스크를 통해 배포되었습니다. 피해자의 컴퓨터에 파일 디렉토리를 숨기고 숨김을 해제하는 데 미화 189달러를 요구했습니다. 그러나 파일 자체가 아닌 파일 이름을 암호화했기 때문에 사용자가 몸값을 지불하지 않고도 피해를 쉽게 되돌릴 수 있었습니다.

1996년: 컴퓨터 과학자 Adam L. Young과 Moti Yung은 AIDS 트로이 목마 바이러스의 결함을 분석하면서 미래의 맬웨어 형태에 대해 경고했습니다. 이들은 미래의 멀웨어가 더 정교한 공개 키 암호화를 사용하여 민감한 데이터를 인질로 잡을 수 있다고 말했습니다.

2005년: 2000년대 초반까지 랜섬웨어 공격이 비교적 적었던 후 러시아와 동유럽을 중심으로 감염이 증가하기 시작했습니다. 비대칭을 사용하는 첫 번째 변형이 등장합니다. 새로운 랜섬웨어가 돈을 갈취하는 보다 효과적인 방법을 제공함에 따라 더 많은 랜섬웨어가 전 세계적으로 확산되기 시작했습니다.

2009년: 암호화폐, 특히 비트코인의 도입은 추적할 수 없는 몸값을 받을 수 있는 방법이 되므로 랜섬웨어 활동이 또 다시 급증하게 되었습니다.

2013년: 현대 랜섬웨어 시대는 CryptoLocker가 암호화폐로 지불을 요구하는, 고도로 정교한 암호화 기반 랜섬웨어 공격의 물결을 시작하면서 시작됩니다.

2015년: Tox 랜섬웨어 변형이 서비스형 랜섬웨어(RaaS) 모델을 도입했습니다.

2017년: 최초로 널리 사용되는 자가 복제 크립토웜 WannaCry가 등장합니다.

2018년: Ryuk가 대형 랜섬웨어 사냥을 대중화시켰습니다.

2019년: 이중 및 삼중 갈취 랜섬웨어 공격이 증가하기 시작합니다. IBM Security X-Force Incident Reponse 팀이 2019년 이후 대응한 거의 모든 랜섬웨어 인시던트에는 이중 갈취가 포함되었습니다.

2022년: 사이버 범죄자가 공격 대상의 온라인 대화에 자신을 삽입하는 스레드 하이재킹이 랜섬웨어의 주요 벡터로 부상합니다.