#랜섬웨어 차단 랜섬허브 랜섬웨어
FBI, CISA, MS-ISAC 및 HHS가 공동으로 발표한 사이버 보안 자문은 RansomHub 랜섬웨어 변이안에 대한 정보를 제공하는 것을 목표로 합니다. RansomHub는 랜섬웨어-서비스-모델로 확인되어 다른 주요 변이안의 고위급 제휴사들을 끌어들였습니다. RansomHub는 다양한 부문에서 적어도 210명의 피해자에게 데이터를 암호화하고 탈취했습니다. 제휴사들은 피싱 이메일, 알려진 취약점을 악용하고 암호 스프레이를 사용하여 초기 액세스를 얻습니다. 그런 다음 네트워크 스캐닝을 수행하고, 바이러스 백신 제품을 비활성화하고, Mimikatz, Cobalt Strike 및 기타 도구를 사용하여 네트워크 내부에서 이동합니다. 데이터 탈취 방법은 다양하지만 PuTTY, AWS S3 버킷 및 HTTP POST 요청과 같은 도구를 포함합니다. 랜섬웨어는 각 파일의 끝에 고유한 키와 체크섬을 추가하는 Elliptic Curve 암호화 알고리즘을 사용하여 파일을 암호화합니다. 랜섬웨어 실행 파일은 실행 파일을 암호화하지 않으며 볼륨 그림자 복사본을 삭제하여 시스템 복구를 방해합니다.