2025년 4분기 알약 랜섬웨어 행위기반 차단 건수 총 59,162건!

 

 

안녕하세요!  이스트시큐리티 시큐리티 대응센터(ESRC)입니다.      

2025년 4분기 자사 백신 프로그램 ‘알약’에 탑재되어 있는 ‘랜섬웨어 행위기반 사전 차단’ 기능을 통해 총59,162건의 랜섬웨어 공격을 차단했으며, 이를 일간 기준으로 환산하면 일 평균 643건의 랜섬웨어 공격을 차단한 것으로 볼 수 있습니다.         

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과입니다.     

다음은 ESRC에서 선정한 2025년 4분기 주요 랜섬웨어 동향입니다.    

1) BYOVD 기법을 활용한 랜섬웨어 공격 주의 
2) 클라우드 인프라와 AWS S3 스토리지, 새로운 공격 대상으로 부상 
3) LockBit 5.0의 등장 
4) 랜섬웨어 조직들의 전략적 동맹 
5) Akira 랜섬웨어 변종 복호화 툴 공개 

랜섬웨어의 공격조직들이 BYOVD(Bring Your Own Vulnerable Driver) 기법을 사용하여 보안 솔루션을 종료하거나 무력화 시키고 있어 주의가 필요합니다. 

 

BYOVD(Bring Your Own Vulnerable Driver)는 합법적 서명을 포함하고 있지만 취약점이 존재하는 드라이버를 공격에 활용하는 공격 기법으로, 공격자가 공격에 성공하면 커널 수준의 권한상승이 가능하여 시스템에 대한 최고 수준의 접근 및 제어권한을 확보할 수 있습니다.  

 

Qilin 랜섬웨어 공격자들은 BYOVD 공격을 위해 2015년에 컴파일 및 서명된 취약한 Windows 커널 드라이버 TPwSav.sys를 공격 툴에 추가하였으며, DeadLock 랜섬웨어는 CVE-2024-51324 취약점이 존재하는 Baidu 백신 드라이버인 BdApiUtil.sys를 공격에 활용하여 Baidu EDR을 비활성화 하고 이후 권한상승, 보안 및 백업 시스템 및 섀도우 복사본을 삭제하는 파워쉘 스크립트를 실행하기도 했습니다.  BYOVD 기법을 활용한 공격 사례는 2026년에도 지속될 것으로 예상됩니다.  

기업들의 운영환경이 클라우드로 이전됨에 따라, 랜섬웨어의 공격 타깃도 Amazon S3와 같은 클라우드 스토리지로 확대되고 있습니다.   

2025년 1월, AWS의 고객제공키(SSE-C) 기능을 악용하여 데이터를 암호화 하는 CodeFinger랜섬웨어가 발견되었습니다.  

 

SSE-C는 AWS S3 환경에서 고객이 직접 암호키 생성, 데이터 암호화 하는 방식으로, 암호화키를 고객만 보유하고 있기 때문에 데이터에 대한 데이터의 소유와 관리를 모두 직접 진행할 수 있습니다. 공격자는 다양한 경로로 AWS접속에 필요한 액세스 키나 계정정보를 찾아 접속권한을 획득하며, 접속성공 후 SSE-C 기능을 악용하여 고객 데이터를 암호화 한 후 복호화를 위한 대칭형 AES-256키를 제공하는 대가로 금전을 요구합니다.  

11월에는 TrendMicro는 잠재적으로 랜섬웨어가 AWS S3에 저장된 사용자 데이터를 공격할 수 있는 기술들에 대한 보고서를 공개했습니다. 이 보고서를 통해 기본 관리형 키 악용 (Default AWS KMS Keys), 고객 제공 키 악용 (SSE-C), 데이터 유출 후 삭제 (Exfiltration and Deletion), 외부 키 재료 주입 (External Key Material Import), 외부 키 스토어 활용 (External Key Store, XKS) 등 실제 공격에 활용될 수 있는 5가지 방법들에 대해 상세히 기술하였으며, 클라우드 인프라 역시 더 이상 랜섬웨어의 안전지대가 아님을 경고하였습니다.   

LockBit 5.0이 등장하였습니다.

LockBit 랜섬웨어 그룹은 2024년 초, 국제 수사 집행기관들이 함께 협력하여 진행한 Operation Cronos 작전으로 인해 그룹의 인프라 상당부분이 타격을 입고 영향력이 크게 약화되며 활동이 중단된 듯 하였습니다. 하지만 2025년 9월 초, LockBit은 공식적으로 복귀를 발표하며 화려하게 귀환하였습니다.  

LockBit 5.0 버전은 Windows, Linux 및 ESXi 서버를 주요 공격 대상으로 삼습니다. 파일 암호화 완료 후 무작위로 생성된 16자리의 확장자를 추가하는 것이 특징이며, 기존 암호화 파일 뒤에 붙이던 .lockbit과 같은 고유 마커를 의도적으로 삭제하여 흔적을 지움으로써 보안 솔루션의 탐지와 초기 대응을 어렵게 만듭니다. 또한 기존 분산형 토르(Tor) 인프라와 P2P 기반 암호화 메신저인 Tox IDs를 추가 도입하여, 수사기관 차단을 대비해 협상 및 통신이 더욱 용이할 수 있도록 업그레이드 되었습니다. LockBit 5.0은 이미 수십명의 피해자를 발생시켰으며, 활발한 공격 활동을 이어나갈 것으로 전망됩니다.  

2025년 10월, LockBit, Qilin, DragonForce 랜섬웨어 조직들이 전략적 동맹을 발표했습니다.  

전략적 동맹을 통해 랜섬웨어는 더 이상 단일 조직으로 분류되는 것이 아닌, 혼합된 전술을 사용하고 서로의 인프라를 상호 공유하는 분산형 랜섬웨어 공급망 구조로 진화하였습니다. 또한 '오퍼레이션 크로노스(Operation Cronos)'와 같은 국제적 인프라 타격 작전 이후에도 공격을 지속할 수 있는 높은 회복 탄력성도 갖추게 되었습니다. 이러한 변화에 따라 2026년에는 랜섬웨어 조직들의 활동이 더욱 활발해지고, 공격의 범위와 파급력 또한 한층 확대될 것으로 전망됩니다.

Akira 랜섬웨어 변종 복호화 툴이 공개되었습니다.

 

리눅스 및 ESXi 서버를 대상으로 한 Akira 랜섬웨어 변종이 파일별 고유 암호화 키를 생성하는 과정에서 무작위 값이 아닌 시스템의 나노초 단위 타임스탬프를 시드값으로 사용한다는 점이 확인되었습니다. 이러한 키 생성 방식의 취약점으로 인해 NVIDIA GPU의 대규모 병렬 처리 성능을 활용한 초당 수십억 개의 시드값 대입이 가능해 졌으며, 브루트포스 방식으로 복호화키를 추측할 수 있게 되었습니다. 그 결과 복호화 툴이 성공적으로 개발되었습니다. 해당 작업은 일반적인 CPU를 활용하면 수 년이 소요되는 수준이었습니다.

이번 복호화 툴의 개발은 최신 하드웨어 기술을 활용하여 랜섬웨어 공격자의 암호화 전략을 무력화 했다는 점에서 큰 의미가 있으며, 최신 컴퓨팅 자원을 전략적으로 활용하여 지능적 위협에 대응할 수 있다는 점을 입증한 사례로 평가받고 있습니다. 

랜섬웨어는 특정 조직에 국한되지 않는 분산된 공급망 형태로 진화중에 있으며, 전방위적인 공격 타깃 확장과 더불어 지능화된 기술을 통해 기존 방어 체계를 위협하고 있습니다. 이에 보안담당자 여러분들께서는 조직 자산에 대한 접근 권한 관리를 강화하고 오프라인 백업 체계 구축을 통해 진화하는 랜섬웨어 위협으로부터 피해를 최소화할 수 있도록 대비해야 하겠습니다.