2025년 2분기 알약 랜섬웨어 행위기반 차단 건수 총 58,575건!

 

안녕하세요!  이스트시큐리티 시큐리티 대응센터(ESRC)입니다.    

2025년 2분기 자사 백신 프로그램 ‘알약’에 탑재되어 있는 ‘랜섬웨어 행위기반 사전 차단’ 기능을 통해 총58,575건의 랜섬웨어 공격을 차단했으며, 이를 일간 기준으로 환산하면 일 평균 637건의 랜섬웨어 공격을 차단한 것으로 볼 수 있습니다.      

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과입니다.  

다음은 ESRC에서 선정한 2025년 2분기 주요 랜섬웨어 동향입니다.   
 
1) 법 집행 기관과 사법 당국의 랜섬웨어 소탕작전 
2) RansomHub 인프라 중단과 DragonForce 랜섬웨어 조직의 급부상
3) 2025년 2분기 새로 등장한 랜섬웨어
4) 랜섬웨어 공격 방식의 진화 

국제 공조에 의한 랜섬웨어 소탕작전은 2024년 하반기부터 본격화되었습니다. 

2024년 5월, 유럽과 북미 사법당국은 1차 ‘Operation Endgame’을 통해 IcedID, Smokeloader, Pikabot, Bumblebee, Trickbot, SystemBC 등 드로퍼 악성코드의 서버 100개를 압수하고 도메인 1300개를 무력화하는 큰 성과를 얻었습니다.  
그리고 2025년 5월 19~22일, 유로폴(Europol)과 유로저스트(Eurojust)주도 하에 ‘Operation Endgame 2.0’이 진행되었습니다.  

이번 Operation Endgame 2.0’은 2024년 5월에 진행되었던 Operation Endgame의 후속 조치로, DanaBot, Qakbot, Trickbot, Bumblebee, HijackLoader, Lactrodectus, WarmCookie 등 다시 등장한 새로운 악성코드 변종과 그룹들을 대상으로 진행되어 300대 이상의 서버를 압수하고 650개 이상의 도메인을 무력화 시켰습니다. 특히 DanaBot은 이번 작전으로 인해 인프라에 큰 타격을 입었고, 정상화 하는데 상당한 시간이 소요될 것으로 예상됩니다.  

국제 공조로 이루어 지는 랜섬웨어 소탕작전은 랜섬웨어 조직의 핵심 인프라를 직접 무력화 시키는 방향으로 변화하고 있습니다.  

RansomHub 인프라가 2025년 4월 1일부터 오프라인 상태가 되었습니다.  

RansomHub는 2024년 초에 등장한 RaaS(Ransomware-as-a-Service) 조직으로, LockBit 조직의 영향력이 급감한 시기를 틈타 2024년 한 해 동안 전 세계를 대상으로 수백건의 공격을 진행하며 많은 피해를 입히며 급성장한 조직입니다.  

하지만 2025년 4월 1일, 갑자기 인프라 중단 및 공식활동 종료를 선언하였습니다. 정확한 사유는 밝혀지지 않았지만 경쟁조직인 DragonForce의 적대적 인수 시도에 의한 결과라는 추측도 있습니다. 실제로 RansomHub 인프라가 중단된 이후 몇일 뒤 DragonForce는 자신들이 RansomHub의 인프라를 장악했다고 주장하며 랜섬웨어 생태계에 큰 파장을 일으키고 있습니다.  

DragonForce는 2023년 12월 처음 등장한 RaaS 조직으로, 2025년 3월 자신들을 “ransomware cartel”이라고 선언하며 전통적인 RaaS 모델을 넘어서 카르텔(Cartel) 스타일의 분산화된 생태계를 구축하였습니다.  

화이트라벨 서비스를 도입하여, 기존의 단일 브랜드가 아닌 여러 파트너들이 각자의 브랜드와 이름을 공격을 수행할 수 있도록 합니다. 이를 지원하기 위하여 암호화 모듈, 데이터 유출 사이크, 관리자 대시보드와 같은 다양한 기술적, 관리적 인프라를 제공합니다. 즉, 파트너들은 초기 침투만 성공적으로 진행한다면 그 이후 단계는 DragonForce가 지원해주는 것입니다. 또한 파격적인 수익 분배 모델을 도입하였습니다. DragonForce는 수익의 80% 배분 모델을 제시하였고, 이는 일반적으로 수익의 70%를 배분해 주는 다른 RaaS 조직들에 비해 파트너에게 더 유리한 조건입니다.  

RansomHub 활동이 중단된 후, RansomHub를 대체하는 조직으로 빠르게 성장하고 있으며 가장 공격적인 신규 RaaS로 자리매김하고 있습니다.    

2025년 2분기에 새로 등장한 랜섬웨어는 다음과 같습니다.  

2025년 4월 Gunra 랜섬웨어가 등장하였습니다. 이 랜섬웨어는 Conti 랜섬웨어를 기반으로 개발되었으며, 멀티 플랫폼을 공격 타깃으로 합니다. Windows Management Instrumentation(WMI)을 통해 섀도우 복사본을 삭제하고 이중 갈취 방식을 사용합니다. 이 밖에도 Silent Ransomware, JGroup Ransomware, DireWolf Ransomware, IMN Crew Ransomware, DataCarry Ransomware, SatanLock Ransomware가 새로이 등장하였습니다.  

랜섬웨어들은 지속적으로 공격방식을 고도화하고 있습니다.  

Anubis 랜섬웨어는 와이퍼(Wiper) 기능을 내장하여 암호화와 파일 파괴를 동시에 수행합니다. 이 랜섬웨어는 "/WIPEMODE" 매개변수를 통해 파일 내용을 영구적으로 삭제하며, 이는 몸값을 지불하더라도 복구가 불가능하도록 제작되어 피해자와의 협상력 강화를 시도하고 있습니다.  

SafePay 랜섬웨어는 암호화를 진행하기 전 데이터를 선별하여 탈취하고, 일정시간이 지나면 민감한 데이터 일부를 선공개 하는 형태로 진화하였으며, Fog 랜섬웨어는 합법적인 시스템 관리 도구와 오픈소스 모니터링 툴을 결합하여 탐지 우회와 자동화된 전파 메커니즘을 구현했습니다. Interlock 랜섬웨어는 가짜 CAPTCHA와 ClickFix 기법을 활용하여 IT 전문가들을 공격타깃으로 삼기도 했습니다.  

2025년 2분기 랜섬웨어 동향은 법 집행기관의 적극적인 대응과 함께 랜섬웨어 조직들의 더욱 정교하고 파괴적인 공격 기법의 등장으로 볼 수 있습니다. Anubis의 와이퍼 기능, SafePay의 단계적 협박, Interlock의 사회공학적 기법 등은 기존 랜섬웨어 공격 패러다임을 크게 변화시키고 있으며, RansomHub의 몰락과 DragonForce의 급부상은 랜섬웨어 생태계의 급속한 변화를 보여주고 있습니다.