2023년 3분기 알약 랜섬웨어 행위기반 차단 건수 총 41,065건!

 

안녕하세요! 이스트시큐리티 시큐리티대응센터(ESRC)입니다.

 

2023년 3분기 자사 백신 프로그램 ‘알약’에 탑재되어 있는 ‘랜섬웨어 행위기반 사전 차단’기능을 통해 총 41,065건의 랜섬웨어 공격을 차단했으며, 이를 일간 기준으로 환산하면 일 평균 446건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다.

 

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과입니다.

 

이 밖에 2023년 3분기 주요 랜섬웨어 동향은 다음과 같습니다.

 

1) 클롭(Clop) 랜섬웨어 조직, Moveit 취약점을 이용한 공격 지속

2) 3AM 랜섬웨어 등장

3) VMware ESXI 서버 타깃 랜섬웨어 지속

4) 락빗(LockBit) 랜섬웨어의 쇠퇴

 

랜섬웨어 그룹들이 새로운 전성기를 맞이하였습니다.

랜섬웨어 공격 그룹의 기술적 수준이 날로 높아지고 있으며, 새로운 랜섬웨어도 지속적으로 등장하고 있습니다.

 

클롭(Clop) 랜섬웨어 조직, 무브잇(MOVEit ) 취약점을 이용한 공격 지속되었습니다.

 

 첫째, 5월 27일, 클롭 랜섬웨어 조직이 무브잇 트랜스퍼(MOVEit Transfer) 제로데이 취약점을 악용하여 데이터 탈취 공격을 진행하였습니다. 무브잇이 빠른 패치를 내놓았고 이후 2개의 추가 취약점을 해결했지만, 무브잇 취약점을 이용한 공격은 3분기까지 지속되었습니다. 이 공격으로 인해 약 500개의 조직과 3,500만명의 개인이 피해를 입은 것으로 확인되었으며, 이를 통해 약 1억달러 이상의 수익을 거두었을 것으로 예상됩니다.

 

클롭 랜섬웨어 그룹은 이번 공급망 취약점을 이용하여 큰 성공을 이루었으며, 이러한 점을 모방하여 다른 랜섬웨어 조직들도 새로운 공급망 취약점을 찾아 공격에 활용할 가능성이 높아질 것으로 예상되는 만큼 기업 보안담당자들께서는 사내에서 사용하는 SW들의 버전을 항상 최신으로 유지할 것을 권고 드립니다.

 

새로운 3AM 랜섬웨어가 발견되었습니다.

 

3AM 랜섬웨어는 Rust 언어로 작성되었으며 기존에 알려진 랜섬웨어 제품군과는 관련 없는 새로운 랜섬웨어 계열로 추정되고 있습니다. 특이한 점은, 공격자들이 락빗 랜섬웨어 배포 시도 후 실패할 경우 3AM 랜섬웨어를 배포한다는 것 입니다.

3AM 랜섬웨어는 파일을 암호화 하기 전, 다양한 보안 및 백업 제품 등 여러 서비스를 중지하려고 시도하며, 암호화 완료 후에는 볼륨 섀도 복사본 삭제를 시도합니다. 랜섬 행위 외에 다양한 코발트 스트라이크(Cobalt Strike) 구성 요소를 실행하고 PsExec을 사용하여 시스템 권한 상승 시도합니다. 파일 암호화 이후 확장자를 .threeamtime으로 변경하여 3AM 랜섬웨어로 명명되었습니다.

 

단일 공격에서 두 종류의 랜섬웨어를 유포하는 것이 처음발견된 것은 아니지만, 현재 제일 활발하게 공격을 진행중인 락빗 랜섬웨어 공격의 대체 수단으로 사용되었다는 점 만으로도 충분히 주목할만합니다. 향후 3AM 랜섬웨어가 독립적으로 공격을 진행하는 방향으로 진화할 지는 지켜볼 필요가 있습니다.

 

VMware ESXi를 타깃으로 하는 랜섬웨어 공격도 지속되었습니다.

 

많은 기업들이 더 나은 성능 및 리소스 관리를 위하여 가상화 환경을 구축하는 추세입니다. VMware ESXi는 가장 인기있는 가상머신 플랫폼 중 하나입니다.

 

몬티(Monti) 랜섬웨어는 2022년 6월 처음 발견되었으며, 의도적으로 콘티(Conti) 랜섬웨어를 모방한 이름과 공격기법을 사용하였습니다. 심지어 콘티의 유출된 소스코드를 사용하기도 하였습니다.

 

이 조직은 23년 8월 새로운 Linux 기반의 랜섬웨어를 공개하였는데, 기존에 유출되었던 콘티의 소스코드를 기반으로 제작된 이전 버전과는 달리 새로운 버전은 다른 암호화 방식을 사용하며, 파일 크기를 기준으로 암호화 할 파일을 선정하는 것으로 확인되었습니다. 암호화 후에는 파일 확장자를 .monti로 변경합니다.

 

2023년 3월에 등장한 Abyss Locker의 리눅스 버전이 Vmware ESXi 서버를 타깃으로 공격을 진행중인것이 확인되었습니다. 다른 랜섬웨어들과 마찬가지로, Abyss Locker 랜섬웨어 역시 기업 네트워크에 침투하여 데이터를 탈취하고 암호화 합니다. 또한 랜섬머니를 지불하지 않을 시 Abyss-data라는 Tor 사이트에 데이터를 유출합니다. 분석결과 Vmware ESXi 관리툴 명령어인 ‘esxcli’를 이용하여 사용가능한 가상머신들을 모두 종료하는 것을 보아 해당 랜섬웨어가 VMware ESXi 서버를 공격 대상으로 하고 있다는 점을 알 수 있습니다.

 

락빗 랜섬웨어가 쇠퇴의 길로 들어서는 것으로 추정되고 있습니다.

 

락빗 랜섬웨어는 2020년 처음 등장한 RaaS 랜섬웨어로, 등장이후부터 락빗 랜섬웨어는 최근까지 활발한 공격 활동을 벌였습니다. 22년 9월 22일, 락빗 3.0 빌더가 유출되었고, 이렇게 유출된 빌더의 소스코드는 다른 랜섬웨어 조직들에게 악용되어 다양한 변종을 제작하는데 사용되었습니다. 그리고 최근 락빗 빌더로 제작되었지만, 랜섬머니 요구절차가 락빗과 완전히 다른 랜섬웨어가 발견되기도 했습니다.

 

최근 한 보안전문가 블로그에 따르면, 락빗 데이터 유출 사이트에 심각한 버그가 있으며, 일부 협력사들이 이러한 버그를 눈치채고 이미 락빗을 떠났다고 밝혔습니다. 또한 락빗의 새로운 버전의 출시가 늦어지는것도 락빗의 협력사들이 갖는 불만중 하나라고 밝혔습니다.

 

락빗 랜섬웨어가 이러한 어려움을 딛고 다시 명성을 되찾을 것인지, 아니면 이렇게 쇠퇴의 길로 들어설 것인지 향후 행보에 관심이 쏟아지고 있습니다.

 

이 밖에 ESRC에서 선정한 2023년 3분기 새로 발견되었거나 주목할 만한 랜섬웨어는 다음과 같습니다.

 

랜섬웨어명	주요내용
3am	23년 9월 등장한 랜섬웨어로 Rust언어로 작성됨. 새로운 랜섬웨어 계열로 추정되고 있으며, 락빗 랜섬웨어 유포 시도 후 실패 시 3AM랜섬웨어가 유포됨.
Abyss Locker	23년 3월 등장한 랜섬웨어로, Hello Kitty 랜섬웨어의 변종으로 추정됨. 다른 랜섬웨어들과 마찬가지로 기업 네트워크를 해킹하고 데이터 탈취 및 네트워크 암호화를 통한 이중 탈취 기법을 사용.
Monti	23년 3월 등장한 랜섬웨어로, Hello Kitty 랜섬웨어의 변종으로 추정됨. 다른 랜섬웨어들과 마찬가지로 기업 네트워크를 해킹하고 데이터 탈취 및 네트워크 암호화를 통한 이중 탈취 기법을 사용.
Snatch	21년 중반부터 활동을 시작하였으며, 이메일, 메신저 등 랜섬노트를 이용해 피해자와 컨택하는 일반적인 방식 외에, 신원 미상의 스푸핑 전화를 통해 접촉한 피해 사례도 확인.  탐지 회피 목적으로 안전모드 재부팅 후 암호화를 진행.
NoEscape	2020년에 등장하여 일년 동안 활발한 활동을 벌이던 아바돈(Avaddon) 랜섬웨어의 변종으로, 23년 6월 노이스케이프(NoEscape)로 개명 후 다시 등장하였고 23년 7-8월에 매우 활발한 활동을 벌이고 있음. 국내 기업도 공격을 당함.
Knight	TripAdvisor 불만 사항인 것처럼 가장하여 Knight 랜섬웨어를 배포하는 새로운 스팸 캠페인으로, Cyclops 랜섬웨어의 리브랜딩 버전. 협상 목적의 일반 암호화 버전 외에 고정된 복호화비용을 요구하는 대량 배포 캠페인용 Lite 버전 제공

 

이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.