2025년 3분기 알약 랜섬웨어 행위기반 차단 건수 총 58,466건!

 

안녕하세요!  이스트시큐리티 시큐리티 대응센터(ESRC)입니다.     

2025년 3분기 자사 백신 프로그램 ‘알약’에 탑재되어 있는 ‘랜섬웨어 행위기반 사전 차단’ 기능을 통해 총58,466건의 랜섬웨어 공격을 차단했으며, 이를 일간 기준으로 환산하면 일 평균 649건의 랜섬웨어 공격을 차단한 것으로 볼 수 있습니다.        

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과입니다.    

다음은 ESRC에서 선정한 2025년 3분기 주요 랜섬웨어 동향입니다.    

1) AI 기반 랜섬웨어의 등장 
2) 공격 범위의 확대 
3) 국가 지원 해킹 그룹, 랜섬웨어 활용으로 전략 변화 
4) 랜섬웨어 공격 기법 및 우회기술 고도화 
5) RaaS의 진화 

AI 기반의 랜섬웨어가 등장하였습니다.  

2025년 8월, 최초의 AI 기반 랜섬웨어인 PromptLock이 발견되었습니다. 이 랜섬웨어는 Golang으로 작성되었으며 Windows와 Linux 시스템을 공격 타깃으로 합니다. 공격대상에 침투 후 하드코딩된 프롬프트에서 생성된 Lua 스크립트를 활용해 파일 시스템 열거, 데이터 유출, 암호화를 수행합니다.  PrompLock의 가장 큰 특징은 AI가 스크립트를 생성하기 때문에 실행될때마다 IOC가 달라져 탐지가 어렵다는 점입니다.  

현재까지는 개념 증명 수준으로 평가되지만, AI를 활용하여 랜섬웨어 공격이 가능하다는 것을 보여준 첫 사례로 유사한 랜섬웨어들이 지속적으로 나올 것으로 예상됩니다.  

랜섬웨어의 공격 범위도 지속적으로 확대되고 있습니다.  

2025년 4월 등장한 BERT 랜섬웨어는 Windows와 Linux 플랫폼을 공격 대상으로 삼고 있습니다. Windows 변종은 PowerShell 기반 로더를 사용하여 권한을 상승시키고 Windows Defender, 방화벽, UAC를 비활성화한 후 러시아 IP 주소에서 랜섬웨어 페이로드를 다운로드합니다. Linux 변종은 최대 50개의 스레드를 지원하여 빠른 암호화를 가능하게 하며, ESXi 가상 머신을 강제로 종료하여 영향을 극대화하고 복구를 방해합니다. 구성은 JSON 형식으로 임베드되어 있으며, REvil의 Linux 변종에서 코드를 재사용한 것으로 추정됩니다.  

Gunra랜섬웨어는 최초 Windows 플랫폼을 공격 대상으로 삼았으나 Linux 변종으로 공격 범위를 크게 확대하였습니다. Linux 변종의 경우 100개의 암호화 스레드를 병렬로 실행하고 부분 암호화를 지원하는 등 강력한 기능을 포함하고 있습니다. 또한 Windows 버전과 달리 랜섬웨어를 아예 생성하지 않고, RSA 암호화 키를 별도의 키 저장소 파일에 보관하는 옵션을 포함하여 빠르고 구성 가능한 파일 암호화에만 집중합니다. 이미 한국을 포함한 여러 나라 기업들이 Gunra 랜섬웨어의 피해를 입었습니다 .  

국가 지원 해킹 그룹도 공격에 랜섬웨어를 활용하여 금전적 이득을 꾀하는 형태로 변화하고 있습니다.  

2025년 8월, 중동지역의 공공 부문과 항공 산업을 타깃으로 한 Charon이라는 새로운 랜섬웨어가 발견됬습니다. 이 랜섬웨어는 Earth Baxia 그룹이 사용한 전술과 유사한 DLL 사이드로딩 기법을 사용했으며, EDR을 우회하도록 설계된 Dark-Kill 프로젝트 패키지를 포함하고 있습니다. 다만, 이번 공격 과정 중에는 호출되지는 않아 향후 변종에서 사용될 가능성이 높을 것으로 추정됩니다.  또한 피해자명이 언급된 랜섬노트로 보아 이 랜섬웨어 공격은 표적 공격이라는 점을 추정할 수 있습니다.  

북한 국가 지원 해킹 그룹인 ScarCruft(APT37)가 2025년 7월, 스파잉 활동과 함께 랜섬웨어를 배포했습니다. 이 캠페인에서 ScarCruft는 ‘VCD’라는 새로운 랜섬웨어를 사용했으며, 영어와 한국어로 작성된 랜섬노트를 남겼습니다. 북한의 APT 조직이 공격활동 중 랜섬웨어를 배포한 것은 매우 이례적인 것으로, 이는 북한이 공격 목표를 금전적 이득으로 전환했거나 확대하고 있다고 추정할 수 있습니다.  

중국 지원을 받는 Storm-2603그룹을 포함한 공격자들이 SharePoint 제로데이 취약점을 통해 Warlock 랜섬웨어를 배포했습니다. ToolShell은 처음에는 CVE-2025-49704와 CVE-2025-49706 취약점을 활용했으나 MS가 패치를 배포하자, 해당 패치를 효과적으로 우회하는 CVE-2025-53770과 CVE-2025-53771을 개발 및 활용하여 공격을 진행하였습니다.  

랜섬웨어 공격 기법 및 우회기술도 고도화되고 있습니다.  

UEFI Secure Boot를 우회하는 HybridPetya라는 새로운 랜섬웨어가 발견되었습니다. 이 랜섬웨어는 Petya/NotPetya와 유사하지만, UEFI Secure Boot를 우회하는 기능도 포함되어 있는 것으로 확인되었습니다.  

HybridPetya는 NTFS로 포맷된 파티션에 있는 모든 파일에 대한 중요한 메타데이터가 포함된 Master File Table (MPT) 을 암호화하며, 악성 EFI 애플리케이션을 EFI 시스템 파티션에 설치하여 최신 UEFI 기반 시스템을 손상시킬 수 있습니다.  

HybridPetya 샘플은 바이러스토탈에서 수집되었으며 실제 공격에 활용된 증거는 발견되지 않았지만, UEFI secure boot 우회 기능을 갖춘 실제/개념증명 UEFI Bootkit의 네번째 공개사례라는 점에 의의가 있습니다.  

RaaS도 지속적으로 진화중입니다. 

2025년 7월, GLOBAL GROUP이라는 새로운 RaaS가 등장했습니다. GLOBAL GROUP은 BlackLock 랜섬웨어의 리브랜딩으로 추정되며, 제휴사들을 위한 AI 기반의 챗봇을 도입하여, 영어를 하지 못하는 제휴사들과도 효과적으로 소통할 수 있는 채널을 제공하고 있습니다.  

비슷한 시기, BQTLOCK이라는 새로운 RaaS도 등장했습니다. BQTLOCK은 Starter, Professional, Enterprise의 세가지 구독 등급을 제공하여 전문 지식이 없는 제휴사들도 쉽게 이용할 수 있도록 하였습니다. 특히 BQTLOCK는  문자열 난독화, IsDebuggerPresent() API 호출을 통한 디버거 감지, 그리고 가상 머신 우회 기능 등 고급 우회 기술이 포함되어 있을 뿐만 아니라, 업데이트된 버전에는  Chrome , Firefox, Edge, Opera, Brave 등 주요 브라우저에서 자격 증명을 수집하는 데이터 도용 기능도 포함되었습니다.  

2025년 3분기에는 랜섬웨어 조직들이 AI를 공격 및 운영에 활발하게 활용하기 시작하였으며, APT 조직들도 공격에 랜섬웨어를 활용하고 있습니다. 랜섬웨어의 위협은 여전히 진행중이고 지속적으로 고도화 되는 만큼, 보안담당자들은 정기적인 백업과 적절한 권한관리, 주기적인 취약점 패치 등을 통하여 랜섬웨어 위협에 대응해야 하겠습니다.