2022년 2분기 알약 랜섬웨어 행위기반 차단 건수: 148,689건! 1분기 대비 2만 9천여건 감소
안녕하세요! 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
2022년 2분기, 알약(ALYac) 백신 프로그램을 통해 총 148,689건의 랜섬웨어 행위 기반 공격이 차단된 것으로 확인됐습니다.
이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위 기반 차단 기능’을 통해 차단된 공격만을 집계한 결과이며, 만약 패턴(시그니처) 기반 탐지 건까지 포함한다면 전체 공격 건수는 더욱 증가하게 됩니다.
2분기 알약을 통해 차단된 랜섬웨어의 공격은 총 148,689건으로, 일간 기준으로 환산하면 일 평균 약 1,652건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. 이는 지난 1분기 대비 약 2만9천여건 감소한 수치입니다.
알약 행위 기반 랜섬웨어 차단 건수는 6월부터 극명한 차이를 보이며, 현저히 감소한 양상을 보이고 있습니다. 하지만 2분기 탐지 패턴 기반의 주요 랜섬웨어 탐지 수치는 별다른 변화가 보이진 않고 있어, 변종 공격의 일시적 소강상태 여부 등은 3분기 집계까지 좀 더 시간을 두고 따져봐야 할 것으로 예상됩니다.
ESRC는 2022년 2분기 랜섬웨어 주요 동향을 다음과 같이 선정했습니다.
1) 비너스락커 (VenusLocker) 그룹의 이력서 및 저작권 위반 사칭 메일을 통해 유포된 한국 맞춤형 마콥(Makop), 락빗(LockBit) 랜섬웨어의 기승
2) 타이포스쿼팅(Typosquatting) 기법을 통한 매그니베르 (Magniber) 랜섬웨어 유포
3) 러시아의 우크라이나 침공 이슈와 관련된 랜섬웨어 위장 와이퍼(Wiper) 공격
4) 로블록스 코인을 랜섬머니로 요구하는 랜섬웨어
5) ESXi 서버를 타겟으로 하는 리눅스 랜섬웨어 증가
6) 중단 후 활동을 재개한 랜섬웨어 등장
이른바 비너스락커 그룹으로 알려진 랜섬웨어 유포 조직은 오랜 기간 동안 한국에서 활동 중입니다. 최근에는 NSIS 기반으로 변형한 마콥 또는 락빗 랜섬웨어 변종을 유포하고 있어, ESRC에서는 해당 그룹을 지속해서 추적하고 있다. 이뿐 아니라 과거 비너스락커 그룹이 사용한 벡터를 모방한 또 다른 제3의 위협 행위자 소행 가능성도 배제하지 않고 이에 대한 추가 조사도 진행 중입니다.
이들은 주로 기업들을 대상으로 이력서를 위장한 내용이나 혹은 이미지 파일의 저작권 위반 내용처럼 사용자들의 불안감을 조성할 수 있는 내용의 피싱 메일을 통해 랜섬웨어를 유포하고 있어 사용자들의 각별한 주의가 필요합니다.
다음으로 인터넷 이용자가 웹 사이트 주소를 실수로 잘못 입력해 철자가 틀리는 경우를 이용해, 미리 유사한 이름의 악성 사이트를 등록해 진행하는 일명 타이포스쿼팅 공격 기법을 활용한 매그니베르 랜섬웨어도 기승을 부렸습니다. 사용자가 실수로 악성 사이트에 접속하면 마치 윈도우 업데이트용 MSI 파일처럼 위장한 랜섬웨어 파일을 자동으로 내려주어 사용자들의 실행을 유도하며, 여기서 다운로드 된 파일을 실행할 경우 매그니베르 랜섬웨어 감염 피해로 이어지게 됩니다.
러시아의 우크라이나 침공이 현재까지 지속되고 있으며, 이러한 전쟁 상황은 사이버 공간에서도 지속되고 있습니다. 익명의 사이버 그룹들은 자신들이 지지하는 국가를 공개하고, 상대 국가에 대해 사이버 공격을 진행하기도 합니다.
5월에 발견된 Chaos 랜섬웨어 변종은 사용자 PC를 감염시킨 후 확장자를 'fuckazov'로 바꾸는데, 여기서 azov는 우크라이나의 아조프 대대를 뜻합니다. 또한 랜섬노트 역시 우크라이나 전쟁을 비난하는 내용과 함께, 러시아 승리를 희망하는 내용이 포함된 웹사이트의 링크가 포함되어 있습니다.
뿐만 아니라, 데이터를 암호화하고 랜섬머니를 요구하는 척 하지만, 랜섬머니를 지불해도 데이터를 복구할 수 없는 가짜 랜섬웨어의 변형인 와이퍼 악성코드도 지속적으로 등장하고 있습니다. 와이퍼 악성코드는 주로 우크라이나를 공격 대상으로 하고 있으며, 데이터 파괴를 목적으로 하고 있습니다.
로블록스 코인을 랜섬머니로 요구하는 랜섬웨어가 등장하였습니다. 6월에 류크(Ryuk)랜섬웨어를 사칭하지만 실제로는 카오스(Chaos)랜섬웨어의 변종인 워너프렌드미(WannaFriendMe)가 발견됐는데, 해당 랜섬웨어는 널리 알려진 암호화폐 대신 로블록스(Roblox)의 Game Pass 스토어에서 복호화 툴(Ryuk Decrypter)을 판매합니다.
피해자들이 복호화 툴을 구매하려면 반드시 로블록스 게임 플랫폼에서만 사용 가능한 로벅스(Robux) 코인을 구매해야 합니다.
다음으로 VMware ESXi는 기업에서 많이 사용하는 가상화 플랫폼으로, 2분기에도 역시 ESXi 플랫폼을 공격 대상으로 한 랜섬웨어들이 많이 발견됐습니다.
22년 4월에 발견된 Black Basta 랜섬웨어는 처음에 윈도우 시스템을 공격 대상으로 삼았지만, 이후 발견된 리눅스 변종은 ESXi 서버만을 노리도록 특별히 설계됐습니다. 또한 ESXi 서버만을 노린 Cheers 랜섬웨어의 변종인 Cheerscrypt도 발견됐습니다. ESXi 서버를 공격 대상으로 한 랜섬웨어는 점점 더 증가할 것으로 예상됩니다.
2분기에는 운영을 중단했던 랜섬웨어들이 다시 활동을 시작하기도 하였습니다.
지난 11월부터 2월까지 운영을 중단했던 Clop 랜섬웨어가 활동을 재개한 소식이 해외에서 알려졌으며, 4월 한 달 동안 21명의 피해자가 발생했다는 소식이 전해졌습니다. 하지만, 이번 사례가 기존 활동의 연장선 여부는 명확히 확인되지 않았습니다.
뿐만 아니라 10월, 법 집행기관에 의해 Tor 서버가 압수되고 그룹원이 체포당하면서 활동을 중단했던 Revil 랜섬웨어 역시 다시 활동을 시작한 것으로 추정됩니다. 감염자에게 보여주는 웹사이트의 경우, 기존 인프라가 새로운 사이트로 리디렉션 시키고 있으며, 새로운 사이트에는 이전 REvil 공격을 통해 훔친 데이터와 새로운 데이터가 섞인 채 게시되어 있었습니다.
더불어 새로 발견된 랜섬웨어가 REvil 소스코드를 통해 컴파일 되었으며 새로운 변경사항이 포함된 것으로 볼 때, REvil 랜섬웨어가 다시 활동을 시작한 것으로 볼 수 있습니다.
이밖에 ESRC에서 선정한 2022년 2분기 새로 발견되었거나 주목할만한 랜섬웨어는 다음과 같습니다.
랜섬웨어명 | 주요내용 |
BlackCat | 2021년 11월 rust프로그래밍언어로 제작된 최초의 랜섬웨어로, 여러 장치 및 os를 공격 대상으로 함. 최근에는 패치되지 않은 취약점을 이용하여 Microsoft Exchange 서버 공격 중. |
Goodwill | 2022년 3월 처음 등장한 랜섬웨어로, 다른 랜섬웨어들과 다르게 중요 파일 암호화 후 랜섬머니 대신 3가지 사회활동을 하라고 지시함. 피해자가 3가지 활동을 완료 후 SNS에 Goodwill 랜섬웨어로 인해 변화된 자신의 모습과 관련된 메모를 작성하면, 운영자가 확인 후 복호화 방법 영상이 포함된 복호화 키트 전달. |
HelloXD | 2021년 11월 처음 발견된 랜섬웨어로, 유출된 Babuk 소스코드를 기반으로 개발됨. 데이터 탈취 후 파일을 암호화 하며, 암호화 후에 .hello 확장자를 추가함. Tor 대신 Tox 채팅 서비스를 통해 피해자에게 직접 협상을 요구하며, 랜섬웨어 페이로드 이외에 오픈소스 백도어인 MicroBackdoor를 드롭함. |
Onyx | 2022년 4월 처음 발견된 랜섬웨어로, 다른 랜섬웨어와 마찬가지로 데이터 탈취 후 랜섬머니를 지불하지 않을 시 데이터를 공개하겠다고 협박함. 하지만 200MB미만 파일만 암호화하며, 200MB보다 큰 파일의 경우 임의 데이터로 덮어써 랜섬머니 지불 여부와 상관 없이 200MB 초과하는 파일의 경우 복호화 불가능. 이러한 부분은 버그가 아닌 공격자의 의도로 확인됨. |
Black Basta | 2022년 4월 처음 발견된 랜섬웨어로, 다른 랜섬웨어와 마찬가지로 암호화 전 데이터를 탈취함. 이 랜섬웨어는 짧은 시간 내 대규모로 감염시킬 수 있으며, 감염 후 확장자를 .basta로 변경함. 해당 랜섬웨어는 Conti 랜섬웨어의 리브랜딩으로 추정되고 있으며, 최근에는 빠른 시간 내 많은 회사에 침투하기 위하여 QBot악성코드와 협력중임이 확인됨. |
WannaFriendMe | Chaos 랜섬웨어의 변종이지만 Ryuk 랜섬웨어의 변종으로 위장하고자 파일 암호화 후 확장자를 .ryuk로 변경. 랜섬머니를 요구하는 대신 Roblox 플랫폼의 Game Pass 스토어에서 Robux 게임화폐를 이용하여 복호화 툴을 구매하라고 요구함. |
Yashma | 2022년 5월 처음 등장한 랜섬웨어로 Chaos 랜섬웨어의 변종임. 피해자의 위치 기반으로 실행 중지 및 백신,백업 SW 관련 다양한 프로세스 종료 기능이 추가됨. 랜섬웨어로 보이지만 파일을 복구할 수 있는 복호화 툴이나 가이드가 제공되지 않아 와이퍼 악성코드로 볼 수 있음. |
랜섬웨어는 전통적인 이메일 수단 뿐만 아니라, 타이포스쿼팅, APT 공격 결합 등 다양한 방식을 통해 전개 중으로, 6월 한달 간 통계적으로 주춤한 양상을 보였지만 여전히 실존하는 대표적인 사이버 위협 중에 하나로 절대 긴장을 늦춰선 안됩니다.
기업 보안담당자 여러분들께서는 사내 시스템에 존재하는 취약점에 대한 빠른 패치를 진행하시고, 만일 바로 패치를 적용할 수 없는 상황이라면 임시조치를 통하여 랜섬웨어의 공격을 완화하시기를 권고 드립니다. 또한 주기적인 임직원 보안 인식 교육을 통하여 사회공학적 기법을 통한 공격에도 대비하셔야 합니다.
개인 사용자 여러분들께서는 알약과 같은 백신 설치, 자주 사용하는 SW를 항상 최신 버전으로 유지 및 주기적인 백업 등 보안조치를 통하여 랜섬웨어 공격을 차단하고, 랜섬웨어에 감염되어도 그 피해를 최소화 시킬 수 있도록 하여야 합니다.
이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해, 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.
참고 :
2022년 1분기 알약 랜섬웨어 행위기반 차단 건수: 177,732건! 지속적 증가중