전 세계 모든 기업의 90%를 차지하고 세계 GDP의 50%를 기여하는 중소기업은 글로벌 경제의 근간이다. 중요한 역할에도 불구하고 종종 중요한 사이버 보안 보호가 부족해 이들을 표적으로 삼는 다양한 사이버 공격에 취약하다.

이로 인해 금융 기록, 법률 문서 및 개인 식별 정보(PII)와 같은 민감하고 수익성이 높은 데이터를 찾는 사이버 범죄자에게 매력적인 표적이 된다.

AI 기반 사이버 보안 기업 가즈(Guardz, CEO 도어 아이스너)가 오늘 다크 웹에서 중소기업을 표적으로 삼는 충격적인 사이버 범죄 활동을 공개하며 증가하는 트렌드를 조명했다.

가즈 연구 유닛(GRU)이 수행한 이번 조사에서, 패치되지 않은 취약점을 악용하고 도난당한 자격 증명을 판매하며 서비스형 랜섬웨어(RaaS) 공격을 수행해 SMB, 특히 법률 및 회계 회사를 표적으로 삼는 다크 웹 목록을 발견했다. 특히 한 악의적인 목록은 미국 법률 회사의 네트워크에 대한 관리자 수준 액세스를 600달러에 제공했다.

다크 웹에서 판매되는 공격형 서비스 도구의 증가하는 트렌드를 더욱 악화시키는 것은 이러한 공격을 시작하는 것이 그 어느 때보다 쉽고 저렴해졌다는 점이며, 사이버 범죄 도구, 도난당한 자격 증명 및 랜섬웨어 서비스를 다크 웹에서 쉽게 구할 수 있었다.

GRU는 해커들이 도난당한 중소기업 데이터 및 랜섬웨어 서비스에 대한 다크 웹에서의 주요 거래를 분석했으며, 주요 거래로 ▲패치되지 않은 취약점 악용 ▲자격 증명 판매 ▲RaaS를 선정했다.

패치되지 않은 취약점 악용

가즈가 분석한 수백 개의 다크 웹 목록 중 15% 이상이 수년 전에 공개된 취약점을 통해 조직에 대한 액세스를 제공했다.

여기에는 2017년에 공개됐지만 전 세계 많은 장치에서 패치되지 않은 윈도우의 서버 메시지 블록 프로토콜의 이터널블루(EternalBlue) 취약점이 포함된다.

도난당한 자격 증명 판매

다크 웹 포럼은 손상된 원격 데스크톱 프로토콜(RDP) 및 가상 사설망(VPN) 자격 증명을 통해 중소기업 네트워크에 대한 액세스를 광고하는 목록이 주를 이뤘다.

그 중 가즈가 발견한 한 게시물은 1800달러에 경매되는 회계 회사의 관리자 수준 RDP 액세스를 제공했다. 다른 곳에서는 하위 수준 자격 증명이 300달러에 판매되고 있었다.

액세스 권한을 얻으면 사이버 범죄자는 장기간 운영을 중단할 수 있을 뿐만 아니라 랜섬웨어를 배포하고 데이터를 훔쳐 판매하며 사기 거래를 시작하고 향후 악용을 위한 지속적인 액세스를 설정하는 등의 작업을 수행할 수 있다.

서비스형 랜섬웨어 RaaS

또한 가즈는 사이버 공격자가 몸값을 지불하지 않으면 민감한 데이터를 공개하겠다고 위협하는 이중 갈취 방법을 점점 더 많이 사용하고 있음을 발견했다. 발견된 한 사례는 가족 법률 회사가 관련되었으며, 지불을 거부하면 다크 웹 '명예의 전당' 사이트에 민감한 고객 정보가 공개되어 평판 손상을 초래했다.

랜섬웨어 피해자의 94%가 이러한 서비스 중단을 경험하는 상황에서, 이 공격이 중소기업에 미치는 결과는 종종 파괴적이며 운영 및 장기 생존에 영향을 미칠 수 있다.

가즈의 CEO 도어 아이스너(Dor Eisner)는 “단 몇백 달러만 있으면 해커는 회사 시스템에 대한 액세스 권한을 얻고 공유하거나 데이터를 인질로 잡거나 운영을 중단해 전체 생계와 사업을 위험에 빠뜨릴 수 있다.”라며 “기본적인 보안 격차를 해소하고 사전 예방적 위협 탐지 및 기타 자동화된 대응을 수용하며 직원 간의 인식을 높임으로써 중소기업은 운영을 보호하고 고객 신뢰를 유지하며 점점 더 적대적인 디지털 환경에서 성공을 보호할 수 있다.”라고 말했다.