상세 컨텐츠

본문 제목

2020년 2분기, 알약 랜섬웨어 공격 행위차단 건수: 163,933건!

전문가 기고

by 알약(Alyac) 2020. 7. 6. 16:29

본문


안녕하세요?


이스트시큐리티 시큐리티대응센터(ESRC)입니다.


2020년 2분기, 알약을 통해 총 163,933건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다.

 

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위 기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상됩니다.


통계에 따르면, 2020년 2분기 알약을 통해 차단된 랜섬웨어 공격은 총 163,933건으로, 이를 일간 기준으로 환산하면 일 평균 약 1,822건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. 다만, 2018년 3분기부터 현재까지 약 2년에 걸쳐 전체 랜섬웨어 공격건수는 지속적으로 감소되고 있는 추세를 보이고 있습니다.



[그림 1] 알약 랜섬웨어 행위기반 차단 기능'을 통해 차단된 2020년 2분기 랜섬웨어 공격 통계



ESRC는 2020년 2분기 랜섬웨어 주요 동향을 다음과 같이 선정하였습니다.


1) '비너스락커' 조직이 유포하는 Nemty&Makop 랜섬웨어 공격이 꾸준히 발생

2) 코로나 이슈를 노린 랜섬웨어 공격은 2020년 1분기와 비교하여 지속적으로 감소중이나 여전히 활동 중 

3) 재택근무 환경 확산으로 인해 원격연결 수요가 증가함에 따라, RDP 취약점을 노린 랜섬웨어 공격 활발 

 


2020년 2분기에는 한글로 작성된 다양한 사회적 이슈를 활용하여 사용자로 하여금 랜섬웨어 이메일 첨부파일을 열어보도록 유도하는 Nemty 랜섬웨어와 Makop 랜섬웨어가 맹위를 떨쳤고, 1분기에 비해서는 유포수치는 감소 중이지만 'Filecoder_CoronaRansom, Corona Virus ScreenLocker 등 다양한 코로나 키워드를 활용한 랜섬웨어가 여전히 유포되고 있었습니다. 


또한 코로나 바이러스 확산 방지를 위해 재택근무 환경이 확산되면서 원격연결을 통해 업무를 수행하는 수요가 증가하면서 기업의 RDP 취약점을 노린 공격이 활발하게 발생하고 있는 부분도 주목해야 할 부분입니다.  


위에서 언급한 내용 외에도 기존 랜섬웨어 강자 중 하나인 Sodinokibi는 랜섬머니 결제수단을 Monero로 변경한 것 외에는 크게 특이사항은 없지만 꾸준히 공격이 이뤄지는 것이 확인되고 있습니다.

 

ESRC 센터장 문종현 이사는 “2020년 2분기 내 유포된 랜섬웨어 중 비너스락커 조직이 Nemty랜섬웨어와 Makop 랜섬웨어 등을 활용하여 활발히 활동중임이 수십차례 포착된 바 있다."고 언급하며, "ESRC에서 선정한 주요 동향 외에도 해외에서 기업과 의료기관, 산업시스템을 주로 노렸던 대규모의 랜섬웨어 캠페인의 경우 국내에서는 아직 피해사례가 확인되지 않았으나 미리 대비하는 자세가 필요하다."고 강조했습니다.


이밖에 ESRC에서 밝힌 2020년 2분기에 새로 발견되었거나, 주목할 만한 랜섬웨어는 다음과 같습니다.



 랜섬웨어 명

 주요 내용 

 DragonCyber

Jigsaw 랜섬웨어의 변종으로 악성 이메일을 통해 유포되며 파일 암호화시 파일확장자 뒤에 .dc 확장자를 추가

 Sekhmet

도용된 특정업체의 유효한 디지털서명을 포함하며, Windows Installer 패키지로 위장. 랜섬노트 상단에 WAKE UP SAMURAI! 라는 문자열을 보여줌

 Avaddon

서비스형 랜섬웨어(RaaS) 형태로, 제휴파트너에게 수익의 65%를 제공. Powershell, Windows bitsadmin, FTP를 이용한 외부파일 다운로드 기능을 활용하여 감염시킴. 한국어 포함 8개 언어 지원하지만 현재까진 주로 캐나다에서 유포된 것으로 확인

 WastedLocker

러시아 사이버 범죄 그룹인 Evil Corp가 기업 대상으로 타깃 공격을 수행시 활용하는 랜섬웨어. 웹사이트를 해킹해 가짜 SW 업데이트 경고창을 표시하는 악성코드를 삽입

 Snake

특정 기업, 산업 시스템 환경에서 동작하는 랜섬웨어. 이미 유출된 기업의 정보를 타깃 공격에 활용. 파일 암호화 전에 암호화되지 않은 파일을 훔쳤다고 경고하며 랜섬머니를 요구

 WannaRen

표면적으로는 WannaCry 랜섬웨어와 유사한 형태로 PC를 감염시키는 것으로 보이지만 실제로는 HiddenShadow 조직이 자주 사용하는 Powershell 다운로드를 사용하여 백도어 모듈을 드랍함

 Paymen45

대다수가 Chrome 아이콘으로 위장하고 있으며 초기에 유포된 버전은 Makop 랜섬웨어와 거의 유사했으나, 추후 발견된 버전의 경우는 초기 버전과 완전히 다른 구조를 보여주며, 감염PC 정보를 C&C에 전달하는 기능이 업그레이드됨



랜섬웨어 유포 케이스의 대다수는 이메일 형태지만, 코로나19 바이러스 추가감염 예방/조치를 위한 사회적 거리두기에 동참하기 위해 재택근무를 수행하는 케이스가 증가함에 따라 기업 내부망으로 접속하는 임직원들의 재택근무 단말기에 대한 OS/SW 보안업데이트 점검은 물론, RDP 취약점을 활용하는 유포 케이스에 대한 임직원 보안인식 교육도 병행되어야 합니다.


이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해, 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.



관련글 더보기

댓글 영역