본문 바로가기
랜섬웨어 정보

윈도우서버 비트락커 랜섬웨어 감염 예방과 복구 방법 [1편]

KRDC 2024. 1. 22. 14:15

최근 윈도우 서버를 대상으로 한 BitLocker 랜섬웨어 감염이 증가하고 있습니다. BitLocker는 윈도우 서버에 기본적으로 탑재된 디스크 암호화 기능으로, 악성코드에 감염된 내부 단말을 통해 내부 서버로 침투한 공격자가 이를 악용해 C드라이브 전체를 암호화하고 복구키를 요구하는 방식으로 피해를 입히는 공격입니다.

[감염 사례 분석 결과]

다양한 BitLocker 랜섬웨어 감염 사례 분석 결과, 70% 정도의 케이스에서 다음과 같은 공통점이 발견되었습니다.

  • 윈도우 서버를 대상으로 Windows BitLocker 기능으로 C드라이브 전체 암호화
  • 악성코드에 감염된 내부 단말을 통한 내부 서버 공격
  • 원격제어 프로그램 사용

외부 → 내부 : Anydesk, TeamViewer, Remote DeskTop 등 다양한 프로그램 사용

내부 → 서버 : Remote DeskTop (3389)

  • 윈도우 서버 취약점을 이용한 내부 서버 계정 탈취(미미캐츠 이용)
  • 지능형 지속공격 형태로 최소 6개월 ~ 1년 타겟 공격
  • 회사 규모, 매출현황, 직원 수, 코스피, 코스닥 상장유무까지 정확하게 파악
  • 회사 규모에 따라 요구금액 차별

[피해 고객의 공통적인 환경]

피해 고객의 공통적인 환경도 발견되었습니다.

  • 일부 네트워크 디자인 문제 발견 (단말과 서버가 동일한 네트워크로 구성)
  • 보안정책 설정문제 (내부 단말 전체 -> 서버, 3389 허용)

[BitLocker 랜섬웨어 감염 상태]

BitLocker에 감염되었다는 것은 윈도우 서버에 감염될 확률이 높습니다. 위에서 설명드린 것처럼 해커가 내부 단말을 통해 내부서버를 감염시키거나 또는 공개용 서버를 취약점을 이용해서 BitLocker 랜섬웨어에 감염 시켰을 것입니다. BitLocker 랜섬웨어에 감염되면 재부팅 되면서 시작과 동시에 복구키를 요구하는 화면이 나옵니다. 즉, 부팅도 안되고 로그인도 안되는 상황이 발생합니다.

[비트락커 랜섬웨어(BitLocker Ransomware) 감염 화면]

[감염 스크립트 예시]

BitLocker 랜섬웨어는 스크립트를 이용하여 감염시킬 수 있습니다. 다음은 BitLocker 랜섬웨어 감염 스크립트의 예시입니다.

[BitLocker 랜섬웨어 감염 스크립트 예시]

[랜섬웨어 예방 방안]

BitLocker 랜섬웨어가 국내 전체 감염의 60%를 차지하는 이유는 스크립트로 감염시킬 수 있기 때문에 그렇습니다. Crypto 계열의 랜섬웨어는 대부분 실행파일을 이용해서 파일단위로 랜섬웨어에 감염시킵니다. 실행파일은 다양한 보안장비 및 S/W에 탐지 될 수 있습니다. 이러한 이유로 해커들은 스크립트를 이용해서 윈도우 서버를 비트락커 랜섬웨어에 감염시킵니다.

BitLocker 랜섬웨어 감염을 예방하고 대응하기 위해서는 다음과 같은 조치를 취해야 합니다.

  • 네트워크 보안 강화
  • 내부 단말과 서버의 네트워크를 분리하여 악성코드의 확산을 방지합니다.
  • 원격제어 프로그램의 사용을 최소화하고, 사용 시 강력한 인증을 적용합니다.
  • 윈도우 서버의 취약점을 최신 패치로 보안합니다.
  • 백업 및 복구 체계 구축
  • 중요한 데이터는 주기적으로 백업하여, 랜섬웨어 감염 시에도 복구할 수 있도록 합니다.
  • 복구 키를 안전하게 보관합니다.
  • 보안 솔루션 도입(랜섬아이와 같은 랜섬웨어 방지 S/W)
  • 랜섬웨어 공격을 탐지하고 차단

이상과 같이 비트락커 랜섬웨어의 특징과 감염 원인과 예방 방법에 대해 알아보았습니다. 다음 글에서는 비트락커 랜섬웨어를 복구하기 위한 자세한 방법들을 알려드리도록 하겠습니다.

 

 

 

 

 

[한국랜섬웨어방어센터]

* 한국랜섬웨어방어센터(KRDC)는 랜섬웨어 감염 대응 및 디지털 포렌식 서비스, 데이터 복구, 디스크 복구, ERP 복구, 랜섬웨어 예방을 위한 소프트웨어 공급과 컨설팅 서비스를 제공하고 있습니다. 랜섬웨어 감염 시 즉시 연락주십시오.

또한 랜섬웨어 감염 예방을 위한 네트워크 점검 및 보안 조치 서비스도 제공하고 있습니다. 아래 전화번호로 연락주시면 현장을 방문하여 즉각적인 서비스를 제공해 드립니다.

 

* 직통 상담 번호: 010-2924-8211

<랜섬웨어 복구 및 예방 서비스 상담 연락처>

 

 

태그: #랜섬웨어, #랜섬웨어공격, #랜섬웨어복구, #보안, #정보보안, #중소제조, #ERP, #KRDC

'랜섬웨어 정보' 카테고리의 다른 글

서브웨이 랜섬웨어 공격, 민감한 데이터 유출...몸값 700만 달러 요구  (0) 2024.01.29
랜섬웨어 복구를 아무 업체에게나 맡기면 안 되는 이유  (0) 2024.01.22
골프존 랜섬웨어 감염사태, 원인과 현황, 재발 방지 방안  (0) 2024.01.22
윈도우서버 비트락커 랜섬웨어 감염 예방과 복구 방법 [2편]  (0) 2024.01.22
중소기업에 집중되고 있는 랜섬웨어 피해 사례 급증, 예방과 대응이 중요합니다!  (2) 2024.01.22

'랜섬웨어 정보' Related Articles

티스토리툴바