BlackHeart (MedusaLocker) 랜섬웨어
랜섬웨어는 여전히 가장 파괴적인 사이버 위협 중 하나로, 귀중한 데이터를 암호화하고 이를 해제하기 위해 막대한 비용을 요구할 수 있습니다. 최신 랜섬웨어 변종 중 MedusaLocker 계열의 변종인 BlackHeart가 위험한 위협으로 떠올랐습니다. 이 정교한 랜섬웨어는 사용자를 파일에서 잠그는 것뿐만 아니라 도난당한 데이터를 노출시킬 위협을 가하여 피해자에게 공격자의 요구에 따르라는 엄청난 압력을 가합니다. BlackHeart가 작동하는 방식과 이러한 공격을 완화하기 위한 모범 사례를 이해하는 것은 개인 및 기업 데이터를 보호하는 데 매우 중요합니다.
목차
BlackHeart 랜섬웨어가 피해자를 암호화하고 협박하는 방식
감염된 시스템에서 실행되면 BlackHeart 랜섬웨어는 광범위한 파일 유형을 대상으로 공격적인 암호화 프로세스를 시작합니다. 암호화된 각 파일에는 '.blackheart138' 확장자가 추가되어 액세스할 수 없게 됩니다. 예를 들어, 'document.pdf'라는 이름의 파일은 'document.pdf.blackheart138'이 되어 사용자가 데이터에 접근할 수 없게 됩니다.
BlackHeart는 파일을 암호화하는 것과 함께 'read_this_to_decrypt_files.html'이라는 제목의 랜섬 노트를 떨어뜨립니다. 이 메시지는 피해자에게 회사 네트워크가 침투당했으며 RSA 및 AES 암호화를 사용하여 필수 파일이 암호화되었다고 알려줍니다. 공격자만이 필요한 암호 해독 도구를 가지고 있으며, 타사 소프트웨어를 사용하여 파일을 수정하거나 복구하려고 시도하면 영구적인 데이터 손실이 발생할 수 있으므로 피해자에게 경고합니다.
BlackHeart가 사용한 이중 협박 전술
현대 랜섬웨어 공격에서 우려되는 추세는 이중 강탈이며, BlackHeart는 이 패턴을 따릅니다. 랜섬 노트는 민감한 회사 데이터가 유출되었으며 피해자가 요구 사항을 따르기를 거부하면 온라인에 판매되거나 게시될 것이라고 경고합니다. 이러한 추가적인 강압은 피해자에게 압력을 가중시키는데, 기밀 데이터가 유출되면 재정적 손실뿐만 아니라 잠재적인 평판 손상 및 법적 반발에 직면하게 되기 때문입니다.
몸값 지불을 협상하기 위해 공격자는 두 개의 이메일 주소(support1@contonta.com 및 support2@cavopo.com)와 Tor 기반 채팅 서비스 링크를 포함한 연락처 정보를 제공합니다. 그들은 또한 피해자가 72시간 이내에 연락을 취하지 않으면 몸값 금액이 증가할 것이라고 말합니다. 이 전략은 긴박감과 공황 상태를 조성하여 피해자가 상황을 완전히 평가하기 전에 신속하게 행동하도록 유도하도록 설계되었습니다.
몸값을 지불하는 것이 위험한 이유
암호화된 파일을 복구할 수 있다는 전망이 피해자를 몸값 요구에 따르도록 유혹할 수 있지만, 그렇게 하는 것은 상당한 위험을 초래합니다. 사이버 범죄자는 약속을 지킬 의무가 없으며, 많은 피해자는 결함이 있거나 존재하지 않는 복호화 도구를 받기 위해 돈을 지불했습니다. 또한 랜섬웨어 운영자에게 돈을 보내면 불법 활동에 자금을 지원하여 개인과 기업에 대한 추가 공격을 장려합니다.
공격자와 교전하지 않고 손실된 데이터를 복구하는 유일한 신뢰할 수 있는 방법은 안전한 기존 백업을 통하는 것입니다. 그러나 백업이 감염된 장치와 동일한 네트워크에 저장된 경우 백업도 암호화되거나 삭제될 수 있으므로 사전 예방적 보안 조치가 필수적입니다.
BlackHeart 랜섬웨어가 퍼지는 방식
다른 랜섬웨어 변종과 마찬가지로 BlackHeart는 여러 공격 벡터를 사용하여 장치에 침투합니다. 사이버 범죄자는 종종 피싱 캠페인을 통해 랜섬웨어를 배포하여 악성 첨부 파일이나 링크를 합법적인 비즈니스 커뮤니케이션으로 위장합니다. 감염된 이메일 첨부 파일을 열거나 손상된 링크를 클릭하는 의심하지 않는 사용자는 자신도 모르게 시스템에서 랜섬웨어를 실행할 수 있습니다.
다른 표준 감염 방법으로는 패치되지 않은 소프트웨어 취약성 악용, 손상된 웹사이트를 통한 랜섬웨어 배포, 소프트웨어 크랙이나 불법 복제 애플리케이션에 악성 페이로드 숨기기 등이 있습니다. 일부 공격자는 클릭하면 맬웨어 감염으로 이어지는 사기성 온라인 광고인 멀버타이징도 사용합니다. 기업 환경에서 랜섬웨어는 네트워크 전반에 걸쳐 측면으로 확산되어 여러 기기를 감염시키고 공격의 영향을 확대할 수 있습니다.
랜섬웨어에 대항하기 위한 최상의 보안 관행
BlackHeart 랜섬웨어 및 이와 유사한 위협의 위험을 줄이려면 사용자와 조직은 강력한 사이버 보안 조치를 채택해야 합니다. 다음 모범 사례를 구현하면 보안을 강화하고 공격의 희생자가 될 가능성을 최소화하는 데 도움이 될 수 있습니다.
- 정기적인 백업 유지 : 중요한 데이터를 오프라인 백업 및 강력한 암호화를 갖춘 클라우드 스토리지를 포함한 여러 안전한 위치에 저장합니다. 백업이 정기적으로 업데이트되고 무결성이 테스트되도록 합니다.
- 다중 인증 요소(MFA) 사용 : 이 기능은 여러 가지 확인 단계를 요구하여 온라인 계정과 시스템 액세스를 보호하고, 무단 로그인을 어렵게 만듭니다.
- 소프트웨어와 운영 체제를 업그레이드하세요 . 랜섬웨어 공격자가 악용할 수 있는 취약점을 패치하기 위해 모든 애플리케이션, 운영 체제, 보안 소프트웨어를 정기적으로 업데이트하세요.
- 이메일 첨부 파일과 링크에 주의하세요 : 예상치 못한 이메일, 특히 즉각적인 조치를 촉구하는 이메일은 열지 마세요. 발신자 신원을 확인하고 첨부 파일을 다운로드하기 전에 잠재적 위협이 있는지 스캔하세요.
- 관리자 권한 제한 : 침해가 발생할 경우 공격 표면을 줄이기 위해 중요 시스템에 대한 사용자 액세스를 제한하고 불필요한 관리자 권한을 비활성화합니다.
마지막 생각
BlackHeart 랜섬웨어는 현대 사이버 위협의 정교함이 점점 더 높아지는 것을 보여주는 사례로, 파일 암호화와 데이터 유출을 결합하여 피해자에게 가해지는 압력을 극대화합니다. 몸값 지불은 보장된 데이터 복구가 아니며, 범죄 활동을 더욱 부추길 뿐입니다. 대신 사용자는 시스템을 보호하고, 신뢰할 수 있는 백업을 유지하고, 피싱 시도와 악성 소프트웨어에 대한 경계를 유지하여 예방을 우선시해야 합니다. 사이버 보안에 대한 적극적인 접근 방식은 랜섬웨어와 기타 진화하는 디지털 위협에 대한 가장 효과적인 방어책입니다.
BlackHeart (MedusaLocker) 랜섬웨어 비디오
팁 : ON 사운드를 켜고 전체 화면 모드에서 비디오를 볼.
메시지
BlackHeart (MedusaLocker) 랜섬웨어와 관련된 다음 메시지가 발견되었습니다.
|
Your personal ID: - /!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\ All your important files have been encrypted! Your files are safe! Only modified. (RSA+AES) ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE WILL PERMANENTLY CORRUPT IT. DO NOT MODIFY ENCRYPTED FILES. DO NOT RENAME ENCRYPTED FILES. No software available on internet can help you. We are the only ones able to solve your problem. We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment. If you decide to not pay, we will release your data to public or re-seller. So you can expect your data to be publicly available in the near future.. We only seek money and our goal is not to damage your reputation or prevent your business from running. You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back. Contact us for price and get decryption software. email: support1@contonta.com support2@cavopo.com * To contact us, create a new free email account on the site: protonmail.com IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER. * Tor-chat to always be in touch: |
