2018년 1분기, 알약 랜섬웨어 공격 행위차단 건수: 331,042건!

안녕하세요? 이스트시큐리티입니다.

2018년 1분기에 '알약 랜섬웨어 행위기반 차단 기능'을 통해 차단된 랜섬웨어 공격 건수는 총 331,042건이었습니다.

이를 환산하면 최소 월 평균 110,348 건의 랜섬웨어 공격이 감지되었으며, 하루 평균 3,679건의 공격이 발생했다고 할 수 있습니다. 특히, 해당 통계는 알약 공개용 사용자 대상으로만 집계된 행위기반 차단 수치이므로 패턴기반 공격까지 포함하면 실제 랜섬웨어 공격 수는 훨씬 높을 것으로 예상됩니다.

 

<'알약 랜섬웨어 행위기반 차단 기능'을 통해 감지된 2018년 1분기 랜섬웨어 차단 건수>

2017년 4분기에 비트코인을 위시한 암호화폐가 시장에서 큰 관심을 받고 전세계적으로 그 가치가 폭등했습니다. 이에 따라 암호화폐 채굴을 노린 CoinMiner(코인마이너) 류의 악성코드의 유포가 증가하면서 랜섬웨어의 유포 건 수가 기존에 비해 소폭 감소하는 추세를 보였습니다. 하지만 2018년 1분기 암호화폐의 가치가 폭락하며, 특히 3월부터는 다시 랜섬웨어의 유포가 증가하기 시작해, 전 분기 대비 약 14% 이상 공격 건수가 증가한 것이 확인 되었습니다. 

2018년 1분기에 유포된 주요 랜섬웨어들과 각각의 특징을 정리하면 다음과 같습니다. 

랜섬웨어명	특징
Hermes	기존 Hermes 랜섬웨어의 변종이 지속적으로 발견되고 있으며, 파일암호화시 버전에 따라 확장자를 변경하기도 하고 변경하지 않기도 한다. 국내 웹사이트를 통해 유포된 적이 있으며, 감염 후 암호화된 파일이 정상적으로 복구된다는 것을 사용자에게 보여주기 위해 이메일로 암호화된 파일을 보내면 3개의 파일을 복호화해준다고 안내한다. Magniber와 유사도가 높은 랜섬웨어.
GandCrab	유창한 한국어의 이메일 첨부파일 혹은 Rig 및 GrandSoft Exploit Kit에 의해 취약한 웹사이트 방문을 통해 감염되며, 3월까지 가장 많이 유포되는 RaaS(Ransomware as a Service) 랜섬웨어중 하나. 최근에는 국내에서 실존 디자이너명의를 사칭한 한글 악성메일로 대규모 유포를 시도하였다. Magniber와 유사도가 높은 랜섬웨어. 랜섬머니로 대시코인을 요구한다.
Magniber	Magnitude Exploit Kit을 통해 2017년 4분기부터 2018년 1분기까지 꾸준히 유포된 랜섬웨어. 최근에는 그 유포 건수가 감소하였다. 안랩에서 3월말경 Magniber 복구툴을 제공.
KoreanLocker	히든티어 오픈소스를 활용한 .NET 기반의 랜섬웨어. 랜섬노트가 능숙한 한국어로 기재되어 있고, 나무위키 웹사이트 URL을 첨부하여 RSA암호화 방식에 대한 내용을 제공한다. 비트코인 지불방식으로 한국 비트코인 거래소를 소개한다.
MoneroPay	BitcoinTalk라는 포럼에 게시되어 배포되었으며 SpriteCoin이라는 가짜 암호화폐의 지갑으로 사용자를 속여 설치를 유도하며 암호화폐 열풍을 악용하려 했던 랜섬웨어. 크롬/파이어폭스 브라우저에 저장된 암호를 검색하려고 시도하기도 했다.
Annabelle	공포영화로 잘 알려진 ‘애나벨’에 등장하는 인형을 모티브로 만들어졌으며, 파일 암호화뿐만 아니라 정상적으로 PC를 사용할 수 없도록 MBR까지 변조한다.
BlackRuby	일단 감염되면, 랜섬노트를 띄우고 identification key 값을 보여주며, 암호화된 2개의 파일과 identification key를 보내주면 자신들이 복호화를 해준다고 하여 사용자가 랜섬웨어에 감염된 시스템을 포맷하지 않고 공격자의 회신을 기다리게 만들었다. 이 대기시간 동안 파일 암호화 외에도 XMRug CPU Miner를 감염시스템에 설치하여 모네로 코인까지 채굴한다.
desuCrypt	desuCrypt라 불리는 오픈소스로 작성된 랜섬웨어. RC4 encryption을 이용하여 파일을 암호화하며, 두가지 변종인 INSANECrypt와 DeusCrypt가 존재하지만 암호해독기가 제작되어 있는 상태.

기업 및 기관 관계자분들뿐만 아니라 개인 사용자분들께서는 지난 2017년에 화제가 되었던 WannaCry(워너크라이) 랜섬웨어의 변종에의한 피해가 꾸준히 발생하고 있고, 공격자들이 이미 패치가 이뤄진 취약점들을 아직도 많이 활용하고 있다는 점을 유념해 주시기 바랍니다. 무엇보다 랜섬웨어의 위협에 대비하여 시스템 운영체제와 애플리케이션을 항상 최신 업데이트 버전으로 유지하시길 권고 드립니다.

출처가 불분명한 메일에 첨부된 URL 링크나 첨부 파일을 실행하는 경우에도 매우 주의가 필요합니다. 또한 중요한 자료는 외부 저장 매체에 백업하는 습관과, 백신을 항상 최신 버전으로 업데이트하시는 등 보안 수칙을 준수하시기 바랍니다.

이스트시큐리티는 한국인터넷진흥원(KISA)와 함께 긴밀한 협력을 통해 랜섬웨어 정보 수집 및 대응을 진행하며 세상을 더 안전하게 만들고자 더욱 힘쓰겠습니다.

감사합니다.