2025년 1분기 알약 랜섬웨어 행위기반 차단 건수 총 63,909건!
안녕하세요!
이스트시큐리티 시큐리티 대응센터(ESRC)입니다.
2025년 1분기 자사 백신 프로그램 ‘알약’에 탑재되어 있는 ‘랜섬웨어 행위기반 사전 차단’ 기능을 통해 총 63,909건의 랜섬웨어 공격을 차단했으며, 이를 일간 기준으로 환산하면 일 평균 694건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다.
이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과입니다. 다음은 ESRC에서 선정한 2025년 1분기 주요 랜섬웨어 동향입니다.
1) RansomHub, 새로운 맞춤형 백도어 Betruger 사용
2) 1분기 새로 등장한 RaaS
3) CISA, FBI, MS-ISAC, Ghost 랜섬웨어에 대한 공동 권고문 발표
4) 랜섬웨어 조직, 취약점을 악용한 초기 침투 지속
5) 1분기 새로 등장한 랜섬웨어
24년 2월에 등장한 이후 빠른 속도로 성장하며 RaaS 시장의 새로운 강자로 자리 매김한 Ransomhub 공격자들이 Betruger라는 새로운 맞춤형 백도어를 사용하는 것으로 확인되었습니다.
Betruger는 랜섬웨어 공격을 수행하는데 사용하기 위해 특별히 개발된 다기능 백도어로, 스크린샷, 키로깅, 파일 업로드 등과 같은 다양한 기능이 포함되어 있습니다. 랜섬웨어 공격에서 파일 암호화 이외에 특정 악성코드를 사용하는 것은 매우 드문 경우로 각별한 주의가 요구되고 있습니다.
새로운 RaaS들도 등장하였습니다.
Morpheus는 2024년 12월에 등장한 랜섬웨어로, RaaS 모델을 기반으로 운영됩니다. 정부기관, 대기업 등 고부가가치 대상을 공격 대상으로 삼고 있으며, Windows 암호화 API를 이용해 파일을 암호화하여 암호화 후에도 파일 확장자가 변경되지 않는 특징이 있습니다. 주목할만한 점은 Morpheus가 2024년 중반에 등장한 HellCat 랜섬웨어 페이로드와 거의 동일하다는 것입니다. 이에 전문가들은 이 두 조직이 동일한 빌더를 사용하거나 코드베이스를 공유하고 있을 것으로 추정하고 있습니다.
2024년 12월 초, Anubis라는 새로운 RaaS 등장했습니다. 이 조직은 제휴사들에게 다양한 수익화 옵션 및 수익화 구조들을 제공하고, Windows, Linux, NAS, ESXi 등 다양한 공격 플랫폼을 지원합니다. 또한 ChaCha 및 ECIES 알고리즘을 사용한 빠른 암호화, 권한 상승 메커니즘, 방어 시스템 등 고급 기능을 자랑합니다. Anubis 운영자는 경험이 풍부한 것으로 추정되며, Anubis가 새로운 위협으로 급부상할지는 지켜봐야 하겠습니다.
25년 3월 7일, VanHelsing이라는 RaaS가 등장하였습니다.
VanHelsing 랜섬웨어는 등장하자마자 3명의 피해자를 내며 많은 관심을 받고 있습니다. 5000$의 보증금만 지불하면 누구나 제휴사 가입이 가능하며, 제휴사는 랜섬머니의 80%를 수익으로 가져갑니다. 독립국가연합(CIS) 회원국에 대한 공격은 금지한다는 점으로 보아 러시아 사이버 범죄조직의 소행으로 추정되고 있습니다. Windows, Linux, BSD, ARM, ESXi 등 다양한 플랫폼을 공격 대상으로 하며, 등장하자마자 두 가지 변종이 발견되는 등 빠른 속도로 발전하고 영향력을 확대하고 있습니다.
CISA, FBI, MS-ISAC이 중국 연계 Ghost 랜섬웨어에 대해 공동 권고문을 발표했습니다.
Ghost 랜섬웨어 그룹은 2021년 초 등장한 이후에 꾸준히 공격을 진행중이며, 보안을 우회하기 위하여 전술과 공격툴을 지속적으로 발전시키고 있습니다. 현재까지 약 70여개국의 기업들이 이 랜섬웨어의 공격을 받았습니다.
권고문에서는 Ghost 랜섬웨어의 배후는 중국에 있으며, 금전적 이득을 위해 CVE-2018-13379, CVE-2010-2861, CVE-2009-3960, CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 등과 같은 패치가 되지 않은 공개된 취약점을 악용하여 광범위한 공격을 수행하고 있다고 밝혔습니다.
이에 알려진 취약점 패치 및 주기적인 시스템 백업을 진행하고, 피싱방지 MFA 구현, 비정상적인 네트워크 모니터링 등을 통해 피해를 최소화 하라고 권고하였습니다.
취약점을 악용한 랜섬웨어 조직들의 초기 침투가 지속되었습니다.
Mora_001이라는 해커 그룹이 CVE-2024-55591과 CVE-2025-24472로 분류된 포티넷(Fortinet) 방화벽 인증우회 취약점을 활용하여 SuperBlack 랜섬웨어를 유포하고 있습니다.
SuperBlack 랜섬웨어는 유출된 LockBit 3.0 빌더를 기반으로 하고 있으며, LockBit 3.0과 동일한 페이로드 구조와 암호화 방식을 갖고 있습니다. 또한 SuperBlack 랜섬 노트에는 LockBit과 연관된 TOX 채팅 ID가 포함되어 있어, Mora_001 조직이 전 LockBit의 계열사이거나 전 구성원인 것으로 추측되고 있습니다.
파라곤 파티션 매니저(Paragon Partition Manager)는에서 사용되는 BioNTdrv.sys 드라이버에서 총 다섯가지 취약점이 발견되었는데, 랜섬웨어 조직이 이 다섯가지 취약점 중 CVE-2025-0289라고 분류된 취약점을 악용하여 BYOVD(Bring Your Own Vulnerable Driver) 기법을 활용해 SYSTEM 수준 권한을 획득한 사실이 확인되었습니다.
파라곤 소프트웨어는 문제를 해결하기 위해 BioNTdrv.sys 2.0.0 버전을 배포했으며, 이 췽갸점을 악용하면 권한상승 뿐만 아니라 서비스 거부 공격까지 실행할 수 있는 만큼, 이 제품을 사용하는 사용자 혹은 기관에게 빠른 업데이트가 필요합니다.
25년 1분기에는 다음과 같은 새로운 랜섬웨어들이 등장했습니다.
25년 1월, Babuk2(Babuk-Bjorka라고도 부름)라고 주장하는 새로운 랜섬웨어 그룹이 등장했으며, 등장 이후 최소 71명의 피해자 데이터를 공개하며 사람들의 이목을 끌었습니다. 하지만 확인 결과, Babuk2그룹이 공개한 피해자 정보들은 이미 다른 랜섬웨어 조직들이 공개한 정보에서 수집한 데이터를 재활용한 것으로 밝혀졌습니다. 이에 Babuk2 랜섬웨어는 Babuk 랜섬웨어와는 관련이 없으며, 단순히 Babuk 랜섬웨어의 악명을 이용하는 것으로 추정되고 있습니다.
LucKY_Gh0$t 랜섬웨어가 등장했습니다. 이 랜섬웨어는 Chaos 랜섬웨어를 기반으로 개발되었으며, 감염 후 로컬 네트워크를 통해 확산을 시도합니다. 감염 후 파일에 4개의 랜덤한 문자열을 추가하며 read_it 랜섬노트를 생성합니다.
CodeFinger 랜섬웨어가 등장했습니다.
이 랜섬웨어는 2025년 초에 발견됬으며, Amazon S3 사용자를 공격 타깃으로 합니다. 공격자는 쓰기 및 읽기 권한이 있는 공개되거나 손상된 AWS API 키를 통해 AWS계정에 접근하며, ASW의 고객 제공 키(SSE-C)를 사용하여 데이터를 암호화합니다. SSE-C 특성상 암호화된 데이터를 복호화하려면 동일한 암호화 키가 필요한데, 이 키는 공격자만 소유하고 있어 복호화가 불가능합니다. 또한 공격자는 S3 버킷의 객체 수명 주기 관리 API로 파일 삭제 일정을 7일로 설정해 놓아 피해자들을 압박합니다. 이 공격은 취약점을 이용하는 공격이 아니기 때문에 사용자의 적절한 관리가 요구됩니다.
AWS는 고객들에게 IAM 정책의 Condition 요소를 사용하여 SSE-C를 제한하여 S3 버킷에 SSE-C를 적용하지 못하도록 하고, 모든 ASW 키에 대해 권한을 검토하라고 권고하였습니다.
