서비스형 랜섬웨어(RaaS)는 랜섬웨어 그룹이나 조직이 랜섬웨어 코드를 다른 해커에게 판매하고, 해커는 이를 사용하여 자체 랜섬웨어 공격을 수행하는 사이버 범죄 비즈니스 모델입니다.
IBM의 X-Force Threat Intelligence 인덱스에 따르면 랜섬웨어는 2022년에 두 번째로 많이 발생한 사이버 공격 유형입니다. 많은 전문가들은 RaaS의 등장이 랜섬웨어의 확산을 유지하는 데 중요한 역할을 했다고 믿고 있습니다. Zscaler의 2022년 보고서(ibm.com 외부 링크) 에 따르면 가장 활동적인 랜섬웨어 변종 11개 중 8개가 RaaS 변종인 것으로 나타났습니다.
사이버 범죄자들에게 RaaS 모델이 인기 있는 이유는 RaaS가 사이버 범죄 진입 기준을 낮추어 기술적 능력이 부족한 위협 행위자도 사이버 공격을 수행할 수 있도록 하기 때문입니다. 해커는 멀웨어를 직접 개발하지 않고도 갈취를 통해 수익을 얻을 수 있고, 랜섬웨어 개발자는 네트워크를 수동으로 공격하지 않고도 수익을 높일 수 있기 때문입니다.
RaaS는 합법적인 서비스형 소프트웨어(SaaS) 비즈니스 모델과 동일한 방식으로 작동합니다. RaaS 운영자라고도 불리는 랜섬웨어 개발자는 랜섬웨어 툴과 인프라를 개발하고 유지 관리하는 작업을 맡습니다. 이들은 툴과 서비스를 RaaS 계열사라고 하는 다른 해커에게 판매하는 RaaS 키트로 제공합니다.
대부분의 사업자는 다음 수익 모델 중 하나를 사용하여 키트를 판매합니다:
RaaS 키트는 다크 웹 포럼에 광고되며 일부 랜섬웨어 운영자는 새로운 계열사를 적극적으로 모집합니다. 예를 들어 REvil 그룹은 2020년 10월에 주요 채용 캠페인의 일환으로 100만 달러를 지출했습니다(링크는 ibm.com 외부에 있음).
키트를 구매하면 제휴사는 멀웨어 및 암호 해독 키뿐만 아니라 합법적인 SaaS 공급업체와 동등한 수준의 서비스와 지원을 받는 경우가 많습니다. 가장 정교한 RaaS 운영자 중 일부는 지속적인 기술 지원, 해커들이 팁과 정보를 교환할 수 있는 비공개 포럼 액세스, 결제 처리 포털(대부분의 몸값 지불은 비트코인과 같이 추적할 수 없는 암호화폐로 요청되므로), 맞춤형 몸값 메모 작성 또는 몸값 요구 협상을 위한 툴 및 지원 등의 편의 서비스를 제공합니다.
수익 잠재력이 RaaS 확산의 주요 요인이지만, 제휴 프로그램은 해커와 랜섬웨어 개발자에게도 추가적인 이점을 제공하며 사이버 보안 전문가에게는 추가적인 과제를 안겨줍니다.
랜섬웨어 인시던트의 퍼지 속성. RaaS 모델에서 사이버 공격을 수행하는 사람들은 사용 중인 멀웨어를 개발한 사람과 동일하지 않을 수 있습니다. 또한, 서로 다른 해킹 그룹이 동일한 랜섬웨어를 사용하고 있을 수도 있습니다. 사이버 보안 전문가는 공격을 실행하는 특정 그룹을 정확히 파악하지 못할 수 있으므로 RaaS 운영자 및 계열사를 프로파일링하고 잡기가 더 어려워졌습니다.
사이버 범죄자의 전문화. 합법적인 경제와 마찬가지로 사이버 범죄 경제는 분업으로 이어졌습니다. 위협 행위자는 이제 자신의 기술을 전문화하고 개선할 수 있습니다. 개발자는 점점 더 강력한 맬웨어를 만드는 데 집중할 수 있고 계열사는 보다 효과적인 공격 방법을 개발하는 데 집중할 수 있습니다. '액세스 브로커'라고 하는 세 번째 유형의 사이버 범죄자는 네트워크에 침투하여 공격자에게 액세스 포인트를 판매하는 것을 전문으로 합니다. 전문화를 통해 해커는 더 빠르게 움직이고 더 많은 공격을 수행할 수 있습니다. X-Force 위협 인텔리전스 인덱스에 따르면 랜섬웨어 공격 실행에 걸리는 평균 시간은 2019년 당시 60일 이상에서 2022년에는 3.85일로 감소했습니다.
랜섬웨어 위협에 복원력 강화. RaaS를 사용하면 운영자와 제휴사가 위험을 공유하여 각자의 복원력을 높일 수 있습니다. 계열사가 적발된다고 해서 운영자가 운영을 멈추는 것은 아니며, 운영자가 적발되더라도 계열사는 다른 랜섬웨어 키트로 전환할 수 있습니다. 또한 해커는 당국을 회피하기 위해 자신의 활동을 재구성하고 브랜드를 변경하는 것으로 알려져 있습니다. 한 사례로, 미국 해외자산통제국(OFAC)이 Evil Corp 랜섬웨어 조직을 제재한 후 피해자들은 OFAC의 처벌을 피하기 위해 몸값 지불을 중단했습니다. 이에 대응하여 Evil Corp는 계속해서 지불금을 지급하기 위해 랜섬웨어의 이름을 여러 번 변경했습니다(ibm.com 외부 링크).
어떤 조직이 어떤 랜섬웨어를 배후에 두고 있는지 또는 특정 시점에 어떤 운영자가 공식적으로 활동하는지 정확히 파악하기 어려울 수 있습니다. 그렇긴 하지만 사이버 보안 전문가들은 수년 동안 다음과 같은 몇 가지 주요 RaaS 운영자를 찾아냈습니다.
RaaS가 위협 환경을 변화시켰지만, 랜섬웨어 보호를 위한 많은 표준 관행은 여전히 RaaS 공격에 효과적으로 대응할 수 있습니다. 많은 RaaS 계열사는 어제의 랜섬웨어 공격자보다 기술적으로 덜 능숙합니다. 해커와 네트워크 자산 사이에 충분한 장애물을 배치하면 일부 RaaS 공격을 완전히 막을 수 있습니다. 추가 사이버 보안 전술에는 다음이 포함될 수 있습니다:
다른 소프트웨어가 놓칠 수 있는 지능형 위협을 포착하세요. QRadar SIEM은 분석및 AI를 활용하여 위협 인텔리전스, 네트워크 및 사용자 이상 행동 징후를 모니터링함으로써 즉각적인 주의와 복원이 필요한 곳에 우선순위를 부여합니다.
정교하면서도 사용하기 쉬운 EDR(엔드포인트 탐지 및 대응) 솔루션을 사용하여 사이버 공격으로부터 엔드포인트를 보호하고 비정상적인 작동을 감지하며 거의 실시간으로 문제를 해결합니다.
랜섬웨어를 더 빠르게 탐지 및 대응하고 랜섬웨어 공격의 영향을 최소화하는 제로 트러스트 접근 방식을 통해 랜섬웨어로 인해 비즈니스 연속성이 중단되는 것을 방지하고 공격이 발생하면 신속하게 복구할 수 있습니다.
위협 행위자가 공격을 수행하는 방식과 조직을 사전에 보호하는 방법을 이해하는 데 도움이 되는 실행 가능한 인사이트를 찾아보세요.
랜섬웨어 공격이 방어 시스템에 침투하기 전에 비즈니스를 보호하고, 공격자가 경계를 침범할 경우 최적의 복구를 달성하기 위한 중요한 단계를 알아보세요.
올해로 발간 17년 차에 접어든 이 보고서는 나날이 늘어가는 위협 환경에 대한 최신 인사이트를 공유할 뿐 아니라, 시간을 절약하고 손실을 제한할 수 있는 방법에 대한 권장 사항을 제공합니다.
IBM Security 시니어 아키텍트 및 컨설턴트의 도움을 받아 3시간 동안 진행되는 무료 가상 또는 대면 디자인씽킹 세션에서 사이버 보안 이니셔티브의 우선순위를 정해 보세요.
로스앤젤레스는 IBM Security와 협력하여 사이버 범죄로부터 보호하기 위한 최초의 사이버 위협 공유 그룹을 만들었습니다.
보안 정보 및 이벤트 관리(SIEM)는 실시간 모니터링과 이벤트 분석 기능을 제공할 뿐 아니라, 규정 준수 또는 감사 목적으로 보안 데이터를 추적하고 로깅합니다.