CISA 및 파트너, Ghost(크링) 랜섬웨어에 대한 공동 보안 권고 발표

CISA and Partners Release Advisory on Ghost (Cring) Ransomware

CISA and Partners Release Advisory on Ghost (Cring) Ransomware | CISA

 

• 개요
  • CISA, FBI, MS-ISAC가 공동으로 Ghost(Cring) 랜섬웨어에 대한 사이버 보안 경고 발표
  • 공격자는 취약한 인터넷 노출 시스템을 대상으로 랜섬웨어 공격 수행
  • 사용된 공격 기법, 전술, 침해 지표(IOCs) 및 대응 방법 포함
• 주요 공격 기법 및 영향
  • 공격 대상
    • 운영 체제, 소프트웨어, 펌웨어의 보안 업데이트가 적용되지 않은 조직
    • 70개국 이상의 주요 인프라, 교육 기관, 의료 기관, 정부 네트워크, 기술 및 제조 기업 등 피해
  • 주요 취약점(CVE) 활용
    • Fortinet FortiOS(CVE-2018-13379)
    • Adobe ColdFusion(CVE-2010-2861, CVE-2009-3960)
    • Microsoft SharePoint(CVE-2019-0604)
    • Microsoft Exchange(ProxyShell: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)
  • 공격 방식
    • 웹 셸 업로드 및 PowerShell 실행을 통한 추가 악성 코드 배포
    • Cobalt Strike 활용하여 네트워크 내부 확산 및 권한 상승
    • Windows Defender 비활성화, 네트워크 탐색 도구 활용, 원격 시스템 공격
    • 볼륨 섀도우 복사본 삭제 및 로그 제거를 통한 데이터 복구 방해
  • 랜섬웨어 변종 및 주요 파일
    • Cring.exe, Ghost.exe, ElysiumO.exe, Locker.exe
    • 공격자는 파일 확장자 변경, 랜섬 노트 조작, 다양한 이메일 주소 사용
• 보안 권고
  • 패치 및 보안 업데이트 적용
    • 운영 체제, 소프트웨어, 펌웨어에 대한 보안 패치 최신화
  • 네트워크 보안 강화
    • 망 분리 및 네트워크 세그멘테이션을 통해 내부 확산 제한
    • 사용하지 않는 포트(RDP 3389, FTP 21, SMB 445) 차단 및 VPN을 통한 안전한 접근 설정
  • 다단계 인증(MFA) 및 권한 관리
    • 모든 특권 계정 및 이메일 서비스 계정에 피싱 저항 MFA 적용
    • 최소 권한 원칙(PoLP) 기반의 접근 제어 적용
  • PowerShell 및 악성 코드 실행 탐지
    • 비정상적인 PowerShell 활동 및 명령어 탐지
    • PowerShell 사용 권한 제한 및 애플리케이션 화이트리스트 적용
  • 데이터 백업 및 복구 전략 수립
    • 주기적인 백업 수행 및 백업 데이터를 오프라인 또는 별도 저장소에 보관
  • 이메일 보안 강화 및 사용자 교육
    • DMARC, DKIM, SPF 설정으로 피싱 및 이메일 스푸핑 방지
    • 사용자 대상 피싱 메일 탐지 및 대응 교육 실시
• 추가 권고 사항
  • MITRE ATT&CK 프레임워크 기반 보안 정책 점검 및 개선
  • 침해지표(IOCs) 기반 위협 탐지 및 차단 규칙 적용
  • 랜섬웨어 감염 시 법 집행 기관(FBI, CISA) 신고 및 데이터 유출 여부 검토