지난해 4분기 차단된 랜섬웨어 공격 17만건... 사회적 이슈 악용한 피싱으로 접근

  |  입력 : 2021-01-11 16:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이스트시큐리티, 알약 랜섬웨어 행위기반 사전 차단 기능으로 집계한 결과 발표
클롭, 소디노키비, 마콥 등 공격 꾸준히 늘어나...11월 발생한 유통 기업 공격이 대표적


[보안뉴스 이상우 기자] 지난해 4분기, 알약을 통해 차단된 랜섬웨어 공격은 17만 2,696건으로 집계됐다. 이는 하루 평균 약 1,910건의 공격이 차단된 셈이다. 이스트시큐리티(대표 정상원)가 자사의 개인 사용자용 무료 백신 ‘알약’의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 집계한 결과를 발표했다. 이는 행위기반 공격을 차단한 수치만을 반영했으며, 패턴기반 공격 차단까지 포함하면 개인 사용자를 대상으로 하는 전체 랜섬웨어 공격 시도 건수는 더 많을 것으로 추정된다.

[이미지=이스트시큐리티]


이스트시큐리티 대응센터(이하 ESRC)에 따르면 2020년 4분기에는 다양한 사회적 이슈를 활용해 사용자가 랜섬웨어 이메일 첨부파일을 열어보도록 유도하는 ‘클롭(Clop)’, ‘소디노키비(Sodinokibi)’, ‘마콥(Makop)’ 랜섬웨어 공격이 꾸준히 발견되었으며, 랜섬웨어 공격 건수는 10월과 11월에 다소 증가했다가 12월에는 감소 추세를 나타냈다. 다만, ESRC는 2018년 3분기부터 현재까지 약 2년에 걸쳐 랜섬웨어 총 공격수는 지속적인 감소 추세를 보이고 있다고 분석했다.

ESRC는 4분기 주요 랜섬웨어 동향으로 △국내 유통 대기업 대상 클롭(Clop) 랜섬웨어 공격으로 대규모 피해 발생 △비너스락커 조직의 RaaS 형태의 마콥(Makop) 랜섬웨어 공격 지속 △LockBit, MalLocker, RansomEXX 등 새로운 버전 사용한 랜섬웨어 공격 다수 발생을 선정했다.

먼저 2020년 4분기 주목할 만한 보안 위협은 11월에 발생한 국내 유통 대기업 대상 클롭 랜섬웨어 공격으로 인한 대규모 피해 발생을 꼽을 수 있다. 클롭 랜섬웨어 해커 조직은 사전에 기업 내부 시스템을 조사해 맞춤형 악성 파일을 공격에 사용하는 치밀함을 보였으며, 파일 확장명을 변경하는 이전 변종과 달리 원본 파일명을 그대로 사용해 피해자의 의심을 피하는 등 고도화된 수법을 사용했다.

또한, 10월에는 소디노키비 랜섬웨어를 사용하는 해커 조직이, 파일리스 기반의 새로운 변종을 활용해 공격을 수행한 것으로 확인됐다. 이들은 이메일에 악성 파일을 첨부하는 기존의 방식과 달리, 상대적으로 보안이 취약한 워드프레스(Wordpress) 환경의 웹페이지에 악성 게시글을 포스팅하고 사용자를 이 피싱 페이지로 유인해 악성코드를 내려받도록 유도했다.

아울러 비너스락커 그룹이 10월부터 12월까지 Makop 랜섬웨어를 꾸준히 유포한 정황도 확인되었으며, 이들은 주로 이력서, 저작권 위반, 부당 전자상거래 위반 등의 주제를 활용한 스피어피싱 공격을 수행했다.

이 밖에도 2020년 4분기에는 LockBit, MalLocker, RansomExx 등 기존의 방식에 새로운 기능을 추가하여 공격을 수행한 새로운 형태의 랜섬웨어도 나타났다.

ESRC 센터장 문종현 이사는 “2020년 4분기 내 유포된 랜섬웨어 중 비너스락커 조직이 Makop 랜섬웨어를 지속 활용한 정황이 수십 차례 포착되었다”며, “ESRC에서 선정한 주요 동향 외에도 해외 기업과 산업 시스템을 주로 노렸던 대규모 랜섬웨어 캠페인의 경우, 국내에서는 아직 피해사례가 확인되지 않았으나 미리 대비하는 자세가 필요하다”고 당부했다.

한편, ESRC에서 밝힌 2020년 4분기에 새롭게 발견되었거나 주목할 만한 랜섬웨어는 다음과 같다.

△Clop: 주로 기업을 대상으로 공격을 수행하는 랜섬웨어로 기업 내부 시스템을 사전에 조사하여 맞춤형 악성파일을 사용함으로써 사전 차단이 어려운 것이 특징. 또한 기존 변종들은 암호화된 파일 확장명을 변경하는 방식으로 진행되었지만, 최근 공격에서는 원본 파일명을 그대로 유지함.

△Myransom: PDF가 아닌 PDX 파일 아이콘을 사용하는 랜섬웨어로 일반적인 랜섬웨어와 다르게 확장자 변경이 이루어지지 않는 점이 특징. White 랜섬웨어로도 알려져있으며 최근 국토교통부를 사칭해 청년 인턴 관련 내용으로 파일 실행을 유도함으로써 감염을 시도함.

△CoderWare: 유명 콘솔게임 ‘Cyberpunk 2077’으로 위장한 윈도우/모바일 랜섬웨어로 BlackKingdom 랜섬웨어의 변종으로 확인됨. 불법 복제 버전 소프트웨어로 위장해 게임 인스톨러, 치트엔진, 크랙 등의 이름으로 유포됨.

△RegretLocker: 가상 하드 드라이브(VHD)를 암호화하는 랜섬웨어로 암호화 시작 전 디스크 검사를 통해 가상 하드 디스크 파일을 찾아 오프라인이거나 분리되어 있는 경우 재연결하여 내부 파일 암호화 진행하는 것이 특징.

△Fonix: 비교적 새로운 형태의 서비스형 랜섬웨어로 다양한 사이버 범죄 포럼에서 여러 제품 형태로 판매됨. 기존의 RaaS와 달리 4가지 암호화 방법을 조합하여 사용하기 때문에 암호화 속도가 느리며, 감염 후 사이클이 복잡하여 운영이 쉽지 않은 것이 특징.

△Ranzy Locker: 윈도우 가상 머신을 대상으로 공격을 수행하는 ThunderX 랜섬웨어 변종. 이전 버전 복호화툴이 공개된 후 새롭게 유포됐으며, 주요 특징들은 이전과 유사함. 많은 랜섬웨어 공격 방식과 유사하게, 데이터 유출을 빌미로 협박하는 이중 탈취 기법을 사용함.

△Nefilim: 유효한 디지털서명이 포함된 기업 표적형 랜섬웨어로 기업 네트워크에 침투하여 정보를 외부로 유출한 후 마지막 단계에서 파일 암호화 행위를 진행하는 것이 특징. 최근 미국 가전 회사를 대상으로 정보 유출 협상을 시도하였으나 실패함.

△Sodinokibi: 최근 파일리스 기반의 새로운 방식을 도입한 랜섬웨어로, BlueCrab 이라는 이름으로도 알려짐. 취약한 Wordpress 환경의 웹 서버를 탈취한 후, 악성 게시글을 통해 다운로드 페이지로 위장한 피싱 페이지를 유포함.

△Makop: 주로 비너스락커 조직이 유포하는 랜섬웨어로 최근 기존의 파일 기반에서 레지스트리 방식의 파일리스 기반으로 변화한 것이 특징. 이를 통해 윈도우 부팅시마다 자동 재실행되도록 함으로써 공격 성공률을 높임.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협