전문가 기고

알약 3분기 랜섬웨어 행위기반 차단 건수: 143,321건!

알약4 2021. 10. 8. 17:38

안녕하세요!

이스트시큐리티 시큐리티대응센터(ESRC)입니다.

2021
 3분기알약을 통해 143,321건의 랜섬웨어 행위기반 공격이 차단된 것으로 확인되었습니다.

 

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로패턴 기반 탐지 건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상됩니다.

통계에 따르면, 2021 3분기 알약을 통해 차단된 랜섬웨어 공격은  143,321건으로이를 일간 기준으로 환산하면  평균  1,592건의 랜섬웨어 공격이 차단된 것으로   있습니다.

 

최근2년에 걸쳐 전체 랜섬웨어 공격 건수는 지속적으로 감소하는 추세를 보였으며, 20213분기에도 지난 2분기에 비해 소폭 감소한 것으로 나타났습니다.

 

 

 [ 그림] 알약 랜섬웨어 행위기반 차단 기능'을 통해 차단된 2021년 3분기 랜섬웨어 공격 통계

 


ESRC
 2021 3분기 랜섬웨어 주요 동향을 다음과 같이 선정하였습니다.

1) Sodinokibi 랜섬웨어, 대규모 Kaseya 공급망 공격 수행

2) 유명 랜섬웨어 기능 포함하는 BlackMatter 랜섬웨어 발견

3) Lockbit 2.0 공격 기승으로 국내외 다수의 기업에서 피해 발생

4) '비너스락커' 그룹이 유포하는 Makop 랜섬웨어 공격 꾸준히 발생


2021
3분기에는 피싱 이메일 내 입사 지원서, 저작권 침해 관련, 견적 문의 등 다양한 테마의 첨부파일 형태로 유포되는 Makop 랜섬웨어가 꾸준히 상위권을 유지했습니다. 또한 Sodinoki 랜섬웨어 그룹이 대규모 Kaseya 공급망 공격을 수행하여 최소 1500곳 이상의 조직이 피해를 입었습니다. Darkside, Sodinokibi  유명 랜섬웨어의 기능을 포함하여 제작된 BlackMatter 랜섬웨어가 발견된 점도 주목할 만합니다.그 밖에도 새로운 버전을 도입한 LockBit 2.0 랜섬웨어 공격으로 다수의 국내외 기업이 피해를 입었습니다. 3분기 랜섬웨어 공격 건수는 2분기에 비해 다소 감소하는 추세를 보였습니다.

3
분기에 주목할만한 위협으로는 7월에 발생한 Sodinokibi 랜섬웨어 그룹이 수행한 Kaseya 공급망 공격이 가장 눈에 띕니다. 지난 7월 러시아 해커들로 구성된 Sodinokibi 랜섬웨어 그룹이 IT 관리 소프트웨어인 Kaseya 업데이트를 통해 공급망 공격을 수행함으로써 최소 1,500개 이상의 기관이 해당 공격으로 인한 피해를 입은 것으로 확인되었습니다. 공격자들은 Kaseya VSA 소프트웨어의 제로데이 취약점 (CVE-2021-30116)을 악용했고, Sodinokibi 해커들은 랜섬 머니로 초기에 7천만 달러를 요구했으며 이후 5천만 달러로 협상 가격을 낮추었습니다. 지난 5월에도 미국에서 발생한 송유관 기업 콜로니얼 파이프라인(Colonial Pipeline)에서 DarkSide 랜섬웨어 공격으로 인해 막대한 피해가 발생한 바 있습니다. 또한 9월에는 약 2개월 간의 공백을 깨고 Sodinokibi 랜섬웨어 인프라 일부가 다시 가동되어, 새로운 피해자가 발생한 것으로 확인되었습니다.

 

또한 7월 말, Colonial Pipeline Kaseya 공격 이후 활동을 중단한 DarkSide Sodinokibi 등 유명 랜섬웨어의 기능을 이어받은 BlackMatter 랜섬웨어가 발견되었습니다. 일본의 올림푸스(Olympus)를 공격한 것으로 알려진 ‘BlackMatter’ 랜섬웨어는 RaaS 형태로 운영되며, 윈도우, 리눅스 등 다양한 운영 체제 버전 및 아키텍처 용으로 제공됩니다. BlackMatter 그룹은 Exploit, XSS와 같은 해커 포럼에 게시된 광고를 사용하여 계열사 네트워크를 구축하고 있습니다. 또한 연간 매출이 1억 달러 이상이며 네트워크 상의 호스트가 500개에서 15,000개 사이인 대기업 네트워크에 액세스할 수 있는 해커를 모집하고 있습니다. BlackMatter 그룹은 의료, 주요 인프라, 국방, 비영리, 정부 기관 등을 대상으로 공격을 수행하지 않을 것이라고 밝혔으며, 미국, 캐나다, 호주, 영국 소재의 기업 네트워크 접근 권한을 구매한다고 홍보 중입니다.

 

8월에는 윈도우 도메인 과정 자동화 등을 포함하여 새로운 버전으로 업그레이드된 LockBit 2.0 랜섬웨어를 악용한 공격으로 국내외 다수의 기업에 피해가 발생했습니다. 자동차, 은행, 정부, 기술, 에너지, 통신 등 다양한 산업 분야에 서비스를 제공하는 것으로 알려진 글로벌 IT 컨설팅 기업인 ‘Accenture’와 국내 기업 진양오일씰풀무원의 미국 법인이 LockBit 2.0 랜섬웨어 공격으로 인한 피해를 입었으며, 공격자들은 공격을 통해 획득한 기업 데이터를 유출하겠다고 협박하면서 랜섬 지불을 요구하는 이중 갈취전략을 사용했습니다. 최근 랜섬웨어 해커 조직에 의해 대기업은 물론 중견 및 중소기업 등 국내외 기업들의 피해가 연이어 발생하고 있어, 다크웹 모니터링을 통해 해킹 조직의 활동 감시를 강화하고 피해 기업에 대한 지원을 확대하는 조치가 필요할 것으로 보입니다.

 

지난 2분기에 이어 3분기에도 비너스락커 그룹이 유포하는 Makop 랜섬웨어가 꾸준히 발견되었습니다. Makop 공격자들은 주로 입사지원서, 이력서, 경력 사항, 포트폴리오, 견적 문의 또는 이미지 저작권 침해 관련 문서로 위장한 EXE 파일을 첨부한 스피어피싱 이메일 형태로 랜섬웨어를 유포했습니다. 특히 지난 2분기에도 발견된 HWP 아이콘을 사용한 Makop 샘플이 9월부터 다시 발견되고 있으며, 8월에는 새로운 파일 설명인 ‘GOMPlayerGlobal Setup File’PDF 아이콘을 이용한 사례도 확인되었습니다. 공격자들은 파일명, 파일 설명, 확장명, 메일 주소 등을 다양하게 변경해가며 탐지망을 교묘히 피해가는 수법을 이용했고, 그 외 특징들은 이전과 유사합니다.

 

이밖에도 Babuk 랜섬웨어를 기반으로 하는 새로운 랜섬웨어 ‘Groove’가 발견되었습니다. 8월부터 활동을 시작한 Groove 운영자들은 다른 조직들과 마찬가지로 이중 갈취 전략을 사용하며, 9월에는 약 50만 개의 Fortinet VPN 자격 증명 목록을 유출한 것으로 확인되었습니다. 해당 유출은 바북(Babuk) 랜섬웨어 운영자 중 ‘Orange’와 동일인물인 RAMP 해킹 포럼 관리자에 의해 이루어졌으며, RAMP 포럼과 Groove 랜섬웨어 서비스 운영을 홍보하기 위해 수행한 것으로 추정됩니다. 유출된 자격 증명은 지난 몇 개월 동안 Fortigate 어플라이언스에서 실행되는 Fortinet FortiOS의 디렉터리 접근 취약점(CVE-2018-13379)을 악용해 수집되었으며, 해당 취약점이 현재는 패치된 상태이지만 많은 VPN 자격 증명이 여전히 유효하다고 Groove 운영자들은 주장하고 있습니다.

 

9월에는 추석 키워드를 활용한 Penta 랜섬웨어 공격이 발견되었습니다. 해당 랜섬웨어는 피싱 메일을 통해 유포된 것으로 추정되며, ‘추석_이벤트_당첨.zip’ 이라는 파일명을 가진 ZIP 파일 내 2개의 PDF 파일을 위장한 EXE 실행파일이 포함되어 있습니다. 2개의 파일은 동일한 파일로, 사용자가 PDF 파일로 오인해 실행하면, 사용자 기기에서 Penta 랜섬웨어가 실행됩니다. 악성코드가 실행되면 현재 실행 중인 프로세스를 확인하여 중복 실행을 방지하고, 자가 복제 및 시작 프로그램 등록을 통해 PC 실행 시 자동으로 실행되도록 설정합니다. 또한 볼륨 섀도 복사본 및 백업 카탈로그를 삭제함으로써 사용자의 파일 복구를 차단하며, 파일 암호화를 진행합니다. 파일 암호화 후 확장자를 [기존 파일명.확장자].PENTA로 변경하며, 파일 복호화를 위해 공격자 이메일로 연락하라는 내용이 포함된 랜섬노트를 띄웁니다. 추석 등의 명절 연휴 기간 동안에는 관련 테마를 활용한 다양한 공격들이 성행할 수 있음을 인지하고, 사용자들은 출처가 불분명한 이메일에 포함된 파일이나 링크를 클릭하지 않도록 함으로써 랜섬웨어 공격을 예방해야 합니다.

 

2021 3분기에도 여전히 비너스락커 그룹의 Makop 랜섬웨어를 활용한 공격이 지속적으로 발견되고 있습니다. 최근에는 해커들이 제로데이 취약점을 악용하거나 이전에 대규모 공격에 이용된 악명 높은 랜섬웨어를 기반으로 공격을 제작함으로써 공격 효율성을 높이고 있으며, 데이터 유출을 빌미로 협박하는 이중 갈취전략과 특정 시기에 따른 키워드 활용 등의 수법도 꾸준히 사용하고 있습니다. 또한 지난 2분기에 발생한 미국 송유관 시설 공격에 이어, 3분기에는 Kaseya 공급망 공격이 발생하는 등 국가 핵심 인프라 시설 및 IT 관리 소프트웨어 기업을 대상으로 하는 대규모 공격을 지속적으로 수행하고 있어, 추후 심각한 피해로 이어지는 것을 예방하기 위해서는 기업과 개인들은 주기적인 백업 및 안전한 보안 시스템 구축 등을 통해 사전에 대비하는 자세가 필요합니다.

이밖에 ESRC에서 밝힌 2021 3분기에 새로 발견되었거나주목할만한 랜섬웨어는 다음과 같습니다.

랜섬웨어  주요 내용
BlackMatter Darkside Sodinokibi 등 유명 랜섬웨어의 기능을 이어받은 랜섬웨어로, RaaS 형태로 운영되며, 윈도우, 리눅스 등을 포함한 다양한 운영 체제 및 아키텍쳐 용으로 제공됨. 주요 인프라는 타깃에서 제외하며, 다양한 국가의 기업 네트워크 접근 권한을 구매한다고 홍보함.
LockFile PetitPotam NTLM 릴레이 공격 방식을 활용해 전 세계 다양한 네트워크의 윈도우 도메인을 공격하는 랜섬웨어로, 원본 PetitPotam(CVE-2021-36942)의 변종을 악용함. LockBit의 랜섬노트와 매우 유사한 랜섬노트를 사용하며, 이메일 주소에서 Conti 랜섬웨어와의 유사성도 확인됨.
Groove Babuk 랜섬웨어를 기반으로 하는 새로운 랜섬웨어 그룹으로, '이중 갈취' 전략을 사용하며, 2021 8월부터 활동을 시작해 9월에 Fortinet VPN 자격 증명 유출 공격을 통해 발견됨. Fortinet FortiOS의 디렉터리 접근 취약점(CVE-2018-13379)을 악용해 데이터를 수집하며, Babuk 랜섬웨어 운영자인 RAMP 해킹 포럼 관리자에 의해 유출이 이루어진 것으로 확인됨.
Chaos 웜 형태로 유포되며, 와이퍼 기능을 탑재한 랜섬웨어로 egg 확장자를 포함한 파일을 암호화 대상으로 함. 8월에 최신 버전이 출시되었으며, Ryuk 랜섬웨어의 .NET 버전임을 내세워 Ryuk 랜섬웨어와 같은 계열사인 것처럼 홍보하였으나, 유사성은 확인되지 않음.
Penta 해외에서 제작되어 인터넷에 공개된 Chaos 제작툴을 이용해 국내에서 제작된 것으로 추정되는 랜섬웨어로, 지난 9월에 추석키워드를 활용해 유포됨. ZIP 압축 파일 내 PDF로 위장한 EXE 실행 파일을 통해 유포되며, 중복 실행 확인, 자가 복제 및 시작 프로그램 등록, 볼륨 섀도 복사본 삭제를 통한 복구 무력화 순서로 공격이 진행됨.
DeepBlueMagic 디스크 드라이브를 암호화하여 사용이 불가능한 상태로 만드는 랜섬웨어로, 주로 Windows Server 2012 R2를 사용하는 시스템을 공격함. D 드라이브를 제일 먼저 암호화하지만, C 드라이브는 암호화 대상에서 제외함. 디스크를 암호화하여 시스템 자체를 사용 불가능한 상태로 만들기 때문에 매우 위협적이며, 공격 효율성을 높이기 위해 디스크 암호화 시작 후 즉시 중단함.
AvosLocker Microsoft Exchange 서버를 활용해 공격을 수행하는 랜섬웨어로, MS Exchange 서버를 활용해 도메인 컨트롤러에 침투하여 랜섬웨어를 유포함. 포럼에서 자신들의 제품을 'C++로 작성된 다중 스레드 랜섬웨어'라고 광고했으며, 은밀한 방식이 아닌 콘솔 애플리케이션으로 동작하여 세부 정보가 확인됨. 강력한 암호화 체계를 특징으로 하며, 공격자의 수동 접근 방식을 통해 수동으로 데이터를 탈취했을 것으로 추정됨.
Xiaoba Windows 11 셋업 파일을 위장한 랜섬웨어로, 'Windows11正式版(Windows정식버전)'을 위장하고 있으며, 중국에서 제작되어 유포 중인 것으로 추정됨. 파일 복구 방지를 위해 볼륨 섀도 복사본을 삭제하고, 암호화 완료 후 바탕화면을 일본어로 된 이미지로 변경하며, 카운트다운 숫자가 포함된 팝업창을 띄움으로써 일정 시간 후 암호화 파일이 모두 삭제된다는 메시지와 함께 복호화 키 입력란을 제공함.

 

랜섬웨어 유포 케이스의 대다수는 이메일 형태지만코로나19 바이러스 확산 방지를 위해 재택 근무를 수행하는 임직원이 증가함에 따라 기업 내부망 접속을 위해 사용되는 재택 근무 단말기 OS/SW 보안 업데이트 점검을 의무화하고 임직원 보안 인식 교육도 병행해야 합니다.

이스트시큐리티는 
랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.

 

참고:

알약 2분기 랜섬웨어 행위 기반 차단 건수: 158,188건!