KISA'랜섬웨어 대응을 위한 안전한 정보시스템 백업 가이드'
과거에는 불특정 다수를 대상으로 데이터를 암호화하고 이에 대한 몸값을 요구하는 방식이 대부분이었다면 최근에는 대규모 엔터프라이즈 환경이 주로 공격 대상이다.
랜섬웨어의 대응전략으로 데이터 백업을 강화해 더 이상 데이터 암호화만으로 수익을 얻기가 어려워졌기 때문이다.
데이터 백업이 가장 효과적인 대응 전략이 될 수 있다.
허나 이런 대응전략으로 인해 최근 공격자들은 로컬 혹은 공유 드라이브에 백업된 데이터까지 암호화하고, 타깃형 공격과 같이 특정 시스템을 거점으로 백업 데이터의 위치를 찾아 감염시키는 방식으로 백업 체계를 무력화하기도 한다.
- 볼륨 섀도 복사본 삭제
: 볼륨 섀도 복사본 VSC : 윈도우 시스템의 자체 백업 기능을 삭제해 이전 파일 복원을 차단 - 네트워크로 공유된 백업 암호화
- 백업 솔루션 악용
: 백업 솔루션은 자체 API를 사용해 기업 내 데이터 백업을 관리한다. 공격자는 탈취한 크리덴셜이나 취약점을 사용해 백업 관리 API에 접근하고 이를 통해 백업을 삭제하거나 암호화한다. - 손성된 데이터 백업 유도
: 타깃형 공격과 같이 내부망에 은밀히 침투해 데이터를 손상시켜 불완전한 데이터가 백업되도록 기다린 후, 원본 데이터를 암호화한다.
출처 : 보안뉴스 권 준 기자님
https://www.boannews.com/media/view.asp?idx=102228
- 랜섬웨어 대응을 위한 안전한 정보시스템 백업 가이드 읽어보고 정리해야 할 것 같다.
