[IBM Security]
X-Force Threat Intelligence Index 2022
IBM Security 연례 보고서 'X-Force Threat Intelligence Index'에 따르면 2021년 발생한 사이버 위협을 네트워크부터 엔드포인트까지 분석한 결과 랜섬웨어와 피싱이 가장 큰 위협이었으며, 아시아에서 가장 많이 발생하였다고 한다.
링크 주소 : https://www.ibm.com/security/data-breach/threat-intelligence/
[Top attack types 전체 사이버 공격 종류]
* 네트워크에 진입하는 초기 방법
1) 2021년 랜섬웨어 발생 : 21%(▼2%)
; 레빌(REvil) 37%, 류크(Ryuk) 13%, 록빗 2.0(Lockbit 2.0) 7% 사용, 기타 (다크사이드(Darkside), 크리스탈(Crystal), 블랙매터(BlackMatter), 라그나로커(RagnarLocker), 비트록커(BitLocker), 메두사(Medusa), E킹(EKing), 엑소리스트(Xorist))
- 랜섬웨어 공격 집단의 평균 수명 : 17개월
* 사법 기관이 추적을 하지 못하도록 조직을 해체하였거나 변화를 추구하는 시점 (예 : 간드크랩(GandGrab) → 레빌 )
- 랜섬웨어 공격 5단계
1단계 초기 액세스(Initial Access) :
피싱, 취약점 이용, RDP(Remote Desktop Protocol)과 같은 초기 액세스 factor를 사용해 일관된 액세스 설정
2단계 후속 공격(Post Exploitation) :
RAT (Remote Access Tool) - Cobalt Strike / Metasploit 같은 도구 또는 악성코드를 사용해 양방향 액세스 설정
3단계 이해 및 확장(Understand and Expand) :
로컬 시스템과 도메인 이해 및 내부 이동(Lateral Movement)을 위한 추가 자격증명 획득 집중
4단계 데이트 수집 및 유출(Data Collection and Exfilltration) :
주요 데이터 확인 후 유출
5단계 랜섬웨어 배포(Ransomware Deployment) :
랜섬웨어 페이로드 배포
- 랜섬웨어 공격의 변화
: 암호화 , 추출, DDOS를 결합한 삼중 탈취 공격 증가
2) 그 외 : 서버 액세스(Server access) 공격 14%, BEC(Business Email Compromise) 8%
[주요 공격 벡터]
* 초기 액세스 접근 얻는 방법
1) 41% 피싱 (▲33%)
2) 34% 취약점 (▼35%)
- 2021년 전체 사이버 공격의 약 50% ; 유럽, 아시아, 중동 소재 기업의 패치되지 않은 취약점으로 발생
- – Microsoft Exchange 취약점 , Log4j 라이브러리 취약점 가 가장 많이 사용됨.
3) 그 외 : 도난된 자격 증명, 무차별 대입(brute-force-attack), RDP(원격 데스트톱 프로토콜), 이동식 미디어, 패스워드 스프레이(Password Spraying) 공격
[맬웨어 개발 동향 - 도커, 오픈소스, OT(IoT)를 활용한 공격 증가 ]
디지털화와 인터넷 프로토콜의 힘으로 산업 조직에만 영향을 미쳤지만, 인프라에서 IoT를 사용하는 조직에서의 위험도 점점 더 늘기 시작하면서 "공급망"에 미칠 파급력을 주의해야 함.
- 차세대 탐지 회피
* 랜섬웨어는 호스트 기반 탐지 시스템을 피하기 위해 다양한 암호화 기술을 사용. (예: 간헐적 암호화 : 전체 시스템 x 개별 데이터 블록을 암호화)
* C2 서버로 클라우드 메시징 및 스토리지 서비스를 사용
- 리눅스 랜섬웨어 : ▲2.5배(=▲146%)
- 도커 컨테이너 겨냥 공격도 증가
* malware : XorDDoS, Groundhog, Tsunami, Siloscape(Windows컨테이너, Kubernetes 컨테이너 관리 플랫폼 손상)
- OT(Operational Technology) 환경에서 공격 증가 (TCP 포트 502번 정찰 ▲2204%)
* 공격자는 정찰 캠페인을 대규모 진행하여 네트워크에서 악용 가능한 통신 수단을 찾는다. 2021년에는 TCP 포트 502가 표적. TCP 포트 502는 산업 네트워크에 연결된 버스, 네트워크, PLC(Programmable Logic Controller) 기기 사이의 클라이언트-서버 통신을 위해 애플리케이션 계층 메시징 프로토콜을 사용.
* 61% 제조 부문 관찰
* 36%는 랜섬웨어 공격
['아시아'가 사이버 공격을 가장 많이 받은 지역]
| 1위 | 아시아 | 2위 | 유럽 | |
| 일본, 호주, 인도 | 영국, 이탈리아, 독일 순 | |||
| 공격 방식 | 20% | 서버 액세스 | 26% | 랜섬웨어 |
| 11% | 랜섬웨어 | 12% | 서버 액세스 | |
| 공격 대상 | 30% | 보험 및 금융업 | 25% | 제조업 |
| 29% | 제조업 | 18% | 보험 및 금융업 | |
3위 : North America > 4위 : Middle East and Africa > 5위 : Latin America
[공격 대상 분야 - 제조업이 1위]
공격 대상 : 23.2% 제조업이 공격을 받았고, 2020년에 비해 34% 급증.
공격 방식은 랜섬웨어(34%), 서버 액세스(12%)
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| Manufacturing | Finance and insurance | Professional and business services | Energy | Retail and wholesale | Healthcare | Transportation | Government | Education | Media |
| 23.2% | 22.4% | 12.7% | 8.2% | 7.3% | 5.1% | 4.0% | 2.8% | 2.8% | 2.5% |
[대응방식]
1) 제로 트러스트 접근방식
: 다중 인증 및 최소 권한의 원칙 구현해 랜섬웨어와 BEC 공격과 같은 상위 공격 유형에 대한 조직의 취약점을 낮출 수 있다.
2) 침해사고 대응 자동화
3) XDR (Extended Detection and Response)
: 여러 솔루션이 확장된 탐지 및 대응 솔로션 결합.
참조 : Shweta Sharma CSO, "랜섬웨어, 피싱, 제조업, 아시아" 2021년 주요 사이버 공격 키워드, CIO Korea, https://www.ciokorea.com/news/227304
"랜섬웨어, 피싱, 제조업, 아시아" 2021년 주요 사이버 공격 키워드 - CIO Korea
IBM 시큐리티(IBM Security)의 연례 보고서 ‘엑스포스 위협 인텔리전스 인덱스(X-Force Threat Intelligence Index)’에 따르면, 2021년 기업의 주요 사이버보안 문제는 ‘랜섬웨어’와 ‘피싱’이었으며, 아
www.ciokorea.com
