[소만사 악성코드 분석리포트 ] 구글 광고를 통해 유포되는 Royal 랜섬웨어
정상 홈페이지로 위장, 피싱 사이트 접속 및 악성코드 설치 유도
1. 요약
1) 2022년 9월, 외신 블리핑컴퓨터에 의해 Royal 랜섬웨어 그룹 공개
2) 최초 공격은 2022년 초, Conti 변형 랜섬웨어 사용
3) 2022년 9월, 정상 홈페이지로 위장한 피싱사이트를 구글광고로 등록, 자체적으로 작성한 Royal 랜섬웨어 노출
4) 피해자에게 공격자 연락처를 제공하기 위한 랜섬노트 본문의 토르 브라우저 URL은 현재까지도 접속가능, 악성코드 유포는 현재 진행형일 가능성 높음
2. 대응 방안
1) 논리적 망분리를 적용하여 악성코드 PC 유입을 원천 차단한다
2) AV(패턴기반탐지)+ EDR(행위기반탐지) 솔루션을 최신 형상으로 유지한다.
3) PC 취약점을 주기적으로 점검, 보완한다.
4) 신뢰할 수 없는 메일의 첨부파일은 실행을 금지한다.
5) 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결을 차단한다.
6) OS나 어플리케이션은 최신 형상을 유지한다.