본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

2021 2분기알약을 통해  158,188건의 랜섬웨어 행위기반 공격이 차단된 것으로 확인되었습니다.


이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위 기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로패턴 기반 탐지 건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상됩니다.

통계에 따르면, 2021 2분기 알약을 통해 차단된 랜섬웨어 공격은  158,188건으로이를 일간 기준으로 환산하면  평균  1,758건의 랜섬웨어 공격이 차단된 것으로   있습니다. 최근 2년에 걸쳐 전체 랜섬웨어 공격 건수는 지속적으로 감소하는 추세를 보였으나, 지난 1분기에 비해 2분기부터는 조금씩 증가하는 모습을 보이고 있습니다.

 

 

[그림] 알약 랜섬웨어 행위기반 차단 기능'을 통해 차단된 2021년 2분기 랜섬웨어 공격 통계

 

ESRC는 2021년 2분기 랜섬웨어 주요 동향을 다음과 같이 선정하였습니다.

1) Sodinokibi 조직의 전방위적 공격 확산 및 새로운 리눅스 변종 발견

2) 미 최대 송유관 회사 Colonial Pipeline 등 국가 인프라 타깃 대규모 공격 발생

3) Babuk Locker 랜섬웨어 빌더 유출로 변종 및 실제 피해 사례 다수 발생

4) '비너스락커' 그룹이 유포하는 Makop 랜섬웨어 공격 꾸준히 발생


2021
 2분기에는 피싱 이메일 내 입사 지원서, 저작권 침해 관련, 견적 문의 등 다양한 테마의 첨부파일 형태로 유포되는 Makop 랜섬웨어가 꾸준히 상위권을 유지했습니다. 전 세계 유명 기업들을 타깃으로 다수의 공격을 펼치며 새로운 리눅스 변종까지 제작한 Sodinokibi 랜섬웨어 그룹의 움직임도 주목할 만합니다. 미국 송유관 시설을 타깃으로 수행된 Darkside 랜섬웨어 공격으로 인해 막대한 피해가 발생했으며, 그 밖에 Babuk Locker 랜섬웨어의 빌더 유출로 변종 제작 및 실제 악용 사례가 확인되었습니다. 2분기 랜섬웨어 공격 건수는 1분기에 비해 전반적으로 증가 추세를 나타냈습니다.

 

2분기에 주목할만한 위협으로는 4월에 발생한 Apple의 핵심 공급업체인 대만의 ‘Quanta Computer’ 공격, 6월에 발생한 미국 식품 가공 업체 ‘JBS Food’ 및 일본 기업 ‘Fujifilm’ 공격 등 세계적인 대기업을 대상으로 Sodinokibi (Revil로도 알려짐) 그룹 소행으로 의심되는 랜섬웨어 공격들이 잇따라 발생했습니다. 이로 인해 여러 생산 시설들이 일정 시간 중단되는 등 시스템 운영에 어려움을 겪었으며, 해커들은 탈취한 데이터 중 핵심적인 기업 기밀 사항 등을 유출하겠다고 협박하는 이중 갈취 전략을 사용함으로써 랜섬 지불을 더욱 효과적으로 유도했습니다. 6월 말에는 VM웨어 ESXi를 공격하는 Sodinokibi 랜섬웨어의 리눅스 변종이 발견되었습니다. 리눅스 아키텍처에 Windows 버전을 추가하는 Sodinokibi 업그레이드 방식은 Darkside와 같은 인기 있는 RaaS 그룹에서 최근 자주 활용되는 추세로, 잠재적 공격 타깃 범위를 확장하는 데 효과적입니다.

 

5월에는 미국 최대 송유관 기업인 ‘Colonial Pipeline’ 시설을 노린 Darkside 랜섬웨어 공격이 발생했습니다. 해당 공격으로 인해 5일 간 미 전역에 공급되는 5,500마일 길이의 파이프라인 운영이 5일간 중단되었고, 5백만 달러에 달하는 거액의 랜섬 머니를 지불한 뒤 비로소 운영을 재개했습니다. 해당 기업은 제품 공급 중단으로 인해 가스 가격이 상승하는 등 전 세계 경제 상황에 심각한 피해를 초래할 것으로 예상되어, 비용을 지불하고 도난당한 데이터 유출을 막은 것으로 확인되었습니다. 공격 발생 이후, FBI 공조 등을 통해 대대적인 수사가 이루어졌고, 결국 Darkside 랜섬웨어 운영자들은 폐업을 선언하고 피해 기업에 복호화 키를 제공하겠다고 밝혔습니다. ‘Colonial Pipleline’ 공격은 에너지 산업의 핵심 인프라에 대한 공격이 매우 위험할 수 있음을 다시 한번 보여주는 사례로 평가됩니다.

 

4월에는 Babuk Locker 랜섬웨어 조직이 미국 워싱턴 DC 경찰국에서 데이터 탈취를 주장하며 금전 지불을 요구했고, 지불이 이루어지지 않을 경우 기밀 정보들을 추가로 공개하겠다고 피해자들을 협박했습니다. 6월에는 Babuk Locker 랜섬웨어의 빌더가 VirusTotal 악성코드 스캐닝 서비스에 등록되었으며, 보안 연구원에 의해 발견되었습니다. 해당 빌더 유출로 인해 다른 사이버 범죄 조직이 자체 버전을 개발함으로써 전 세계의 조직을 공격할 수 있기 때문에 더욱 우려되는 상황으로 Babuk Locker 랜섬웨어 공격과 관련된 지속적인 모니터링이 필요합니다.

 

지난 1분기에 이어 2분기에도 비너스락커 그룹이 유포하는 Makop 랜섬웨어가 꾸준히 발견되었습니다. Makop 공격자들은 주로 입사지원서, 이력서, 경력 사항, 포트폴리오, 견적 문의 또는 이미지 저작권 침해 관련 문서로 위장한 EXE 파일을 첨부한 스피어피싱 이메일 형태로 랜섬웨어를 유포했습니다. 특히 파일 아이콘, 파일명, 파일 설명, 확장명, 메일 주소 등은 다양하게 변경해가며 탐지 망을 교묘히 피해 가는 수법을 이용했고, 그 외 특징들은 이전과 유사합니다.

 

이밖에도 Sodinokibi와 랜섬노트 웹페이지 디자인이 동일한 새로운 ‘Lorenz’ 랜섬웨어와 Sodinokibi 소스코드를 기반으로 제작된 ‘LV’ 랜섬웨어가 발견되었습니다. Lorenz 랜섬웨어는 커스텀 공격을 통해 전 세계 기업을 노리며 4월부터 활동을 시작했습니다. 다른 랜섬웨어 그룹과는 약간 다른 방식으로 데이터를 게시하는데, 랜섬 지불을 압박하기 위해 다른 공격자 또는 경쟁 업체에 데이터 판매를 허용하고 피해자 내부 네트워크 접근 권한도 함께 판매합니다. LV 랜섬웨어는 Sodinokibi 바이너리를 복사하고 용도를 변경함으로써 자체 랜섬웨어를 제작한 것으로 확인되며, 데이터를 탈취하고 “name and shame” 유출 사이트에 피해자 이름을 게시하는 등 다양한 방법으로 Sodinokibi 랜섬웨어의 공격 방식을 모방하였으나 명확하게 구별되는 차이점들도 존재해, 독자적으로 개발된 랜섬웨어로 확인되었습니다. LV 랜섬웨어는 해커들이 이미 공격 성공률이 검증된 잘 알려진 랜섬웨어 코드를 활용함으로써 개발 리소스를 절감하고 수익성 높은 비즈니스 모델을 구축할 수 있음을 잘 보여주는 사례입니다.

 

그 외, QLocker, Avaddon, Darkside 등 일부 랜섬웨어 그룹들이 운영 중단을 선언하고 피해자의 복호화 키를 공개하거나 공개 예정이라고 밝혔습니다. QLocker 랜섬웨어의 경우 FBI로 위장한 익명 제보를 통해 복호화 키가 전달되었고 조사 결과 실제 복호화 키로 확인되었습니다. 각각의 키는 특정 피해자들에게 할당되었습니다. 4월부터 수백만 명의 QNAP 사용자를 공격한 QLocker 랜섬웨어 또한 운영을 중단한다고 발표했습니다. 이들이 랜섬을 탈취하기 위해 사용했던 QLocker Tor 사이트가 모두 접근 불가 상태로 확인되었습니다. Darkside 랜섬웨어 운영자들 또한 FBI 공조 수사가 진행되자 활동을 중단한다고 밝혔습니다. 이들은 최근 주요 인프라에 대한 공격 이후 전 세계 법 집행 기관 및 정부의 압력에 따라 이 같은 결정을 한 것으로 추정됩니다.

 

이스트시큐리티 ESRC 이지현 팀장은 “2021 2분기에도 Makop 랜섬웨어를 활용한 비너스락커 그룹의 공격이 지속적으로 발견되고 있다.”라고 언급하며, “최근에는 해커들이 기존에 잘 알려진 랜섬웨어의 소스코드나 공격 방식을 활용함으로써 공격 효율성을 높이고 있으며, 국가 핵심 인프라 시설 및 유통 기업을 대상으로 하는 대규모 공격들도 과감하게 이루어지고 있어, 추후 심각한 피해로 이어지는 것을 예방하기 위해서는 기업과 개인들은 주기적인 백업 및 안전한 보안 시스템 구축 등을 통해 사전에 대비하는 자세가 필요하다."고 강조했습니다.

이밖에 ESRC에서 밝힌 2021 2분기에 새로 발견되었거나주목할만한 랜섬웨어는 다음과 같습니다.

 

랜섬웨어 
주요 내용
FiveHands
DeathRansom(HELLOKITTY) 변종 랜섬웨어로, UNC2447 사이버 범죄 조직이 SonicWall VPN 제로데이(0-Day) 취약점을 이용하여 유럽, 북미 지역을 대상으로 SombRAT 악성코드 감염을 시킨 후 유포됨.
Nitro
디스코드(Discord) Nitro 선물 코드를 랜섬머니로 요구하는 랜섬웨어로, 암호화된 파일에 '.givemenitro' 확장자를 추가함. 또한 피해자 바탕화면을 화난 표정을 지은 디스코드(Discord) 로고로 변경하며, 피해자가 유효한 선물코드 링크 입력시 파일을 복호화함.
Epsilon Red
Microsoft Exchange 서버의 패치되지 않은 취약점 'ProxyLogon' 을 악용하는 랜섬웨어로, 암호화된 파일에 확장자 '.epsilonred'를 추가함. Golang(Go) 언어로 작성되었으며, Sodinokibi 랜섬웨어의 랜섬노트를 일부 모방하여 사용함.
Marketo
일본의 중장비 업체 고마쓰(KOMATSU)’를 해킹했다고 밝히며, 산업기밀 및 개인정보를 경쟁사에 유출했다는 내용으로 피해자의 랜섬 지불을 압박한 랜섬웨어로, 이중 갈취 수법에서 한 단계 진화한 형태로 제작됨. 세계적인 중장비 업체들의 이메일 주소를 함께 공개해 주장의 신뢰성을 높임.
Cring
패치되지 않은 Fortinet VPN 기기를 공격한 랜섬웨어로, CVE-2018-13379 취약점을 적극적으로 악용함. 파일 암호화 후 최대 2BTC를 랜섬으로 요구하며, Cobalt Strike 프레임워크를 사용해 랜섬웨어를 배포함.
N3TW0RM
이스라엘에 위치한 기업 및 비영리단체를 타깃으로 공격을 수행한 랜섬웨어로, 파일 암호화 및 데이터 유출 협박을 동시에 진행하는 '이중 갈취' 전략을 사용함. 클라이언트-서버 모델을 사용하여 공격을 수행하며, 암호화된 파일에는 '.n3tworm' 확장자가 추가됨.
DarkRadiation
Linux Docker 클라우드 컨테이너를 타깃으로 하며 Bash 셸로 작성된 랜섬웨어로, 암호화된 파일의 이름에 방사능 기호를 추가함. 복잡한 Bash 스크립트 모음과 최소 6개의 C2를 사용하며, 하드코딩된 API 키를 사용해 Telegram 봇과 통신하는 것이 특징.
Cuba
암호화된 파일 내부에 피델 카스트로(Fidel Castro)를 지칭하는 문구가 포함된 랜섬웨어로, 카리브 제도에 위치한 쿠바(Cuba) 국가를 연상시키는 파일 확장명이 포함됨. 북미, 남미, 유럽 전역의 금융 기관, 기술, 물류 산업을 타깃으로 공격을 수행함.

 

랜섬웨어 유포 케이스의 대다수는 이메일 형태지만코로나19 바이러스 확산 방지를 위해 재택 근무를 수행하는 임직원이 증가함에 따라 기업 내부망 접속을 위해 사용되는 재택 근무 단말기 OS/SW 보안 업데이트 점검을 의무화하고 임직원 보안 인식 교육도 병행해야 합니다.

이스트시큐리티는 
랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.

 

참고:

알약 1분기 랜섬웨어 행위기반 차단 건수: 154,887건!