보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
2018년 2분기, 알약 랜섬웨어 공격 행위차단 건수: 398,908건!
2018년 2분기, '알약 랜섬웨어 행위기반 차단 기능'을 통해 차단된 랜섬웨어의 공격건수는 총 398,908건이었습니다.
이를 환산하면 월 평균 132,968건, 일 평균 4,384건의 공격이 발생했다고 할 수 있습니다. 이번 통계는 공개용 알약에서 랜섬웨어 행위기반 차단 공격수만을 집계하였기 때문에, 패턴 기반 공격까지 포함하면 전체 공격의 수는 더욱 많을 것으로 예상됩니다.
2분기 랜섬웨어 행위기반 차단 건수는 1분기 대비 약 20%가량 급증하였으며, 특히 지난 5월은 한 달간 약 15만 건의 공격이 차단돼 2018년 상반기 중 랜섬웨어 유포가 가장 많았던 달로 확인되었습니다. 또한 ESRC에서 2분기에 수집한 신변종 랜섬웨어 샘플수도 1분기와 비교해 약 1.5배가량 증가한 것으로 집계돼, 2분기에 랜섬웨어 공격이 더욱 기승을 부렸다고 볼 수 있습니다.
<'알약 랜섬웨어 행위기반 차단 기능'을 통해 감지된 2018년 2분기 랜섬웨어 차단 건수>
한편 랜섬웨어 공격 건수는 2017년 4분기부터 2018년 2분기까지 3개 분기에 걸쳐 꾸준히 증가하는 추세를 보이고 있으며, 특히 갠드크랩(GandCrab) 랜섬웨어가 사회공학적 기법과 취약점을 악용하는 업그레이드를 통해 꾸준히 유포되고 있어 주의가 필요합니다.
이 밖에 2018년 2분기 유포된 주요 랜섬웨어로는 도넛(Donut), 레드아이(RedEye), 킹우로보로스(KingOuroboros) 변종 등이 있습니다.
2018년 2분기 유포된 주요 랜섬웨어의 특징은 다음과 같습니다.
랜섬웨어명 | 특징 |
GandCrab | 2018년 1월부터 6월까지 가장 많이 유포된 랜섬웨어. 계속적으로 버전을 업그레이드하면서 현재 4.0버전까지 발견되었음. 암호화된 확장명을 가지고 있고 유창한 한국어의 이메일 첨부파일 혹은 Rig 및 GrandSoft Exploit Kit에 의해 취약한 웹사이트 방문을 통해 감염됨. |
Donut | Hidden Tear 오픈소스 기반의 전형적인 랜섬웨어. 파일 암호화후 바탕화면에 도넛이 좌에서 우로 굴러가는 이미지를 보여줌 |
RedEye | 감염된 파일을 빈 용량의 파일로 만들기 때문에 랜섬머니를 지불해도 데이터 복원이 불확실함. 4일이내 랜섬머니 지불하지 않으면 MBR수정하여 정상부팅 불가. |
KingOuroboros 변종 | 암호화 완료 후 시스템을 재부팅시키며, 로그온화면에 랜섬메시지를 표시. Java Update Schedule 파일속성을 도용함. |
PedCont | ScreenSaver.scr 형식으로 실행되며 랜섬화면 창 닫기 클릭 시 윈도우 종료되고 윈도우 재시작 시 검은화면만 나타나고 응답없음. BTC, LTC를 랜섬머니로 요구함. |
VirLock | 최초의 자기복제형 랜섬웨어. 파일을 암호화 할 뿐 아니라, 기존파일을 감염시켜 바이러스처럼 동작함. 그림판, 계산기, 메모장이 실행되는 것처럼 보이며 백그라운드에서 암호화 진행됨. |
RansSIRIA | WannaPeace의 변종으로 브라질 사용자를 공격대상으로 함. 시리아 난민을 위한 기부금으로 랜섬머니를 요구함. 시리아 어린이를 돕자는 내용의 ‘세이브더 칠드런’ 유튜브영상과 참혹한 장면을 담은 사진을 링크함. |
MyRansom (=Magniber) 변종 | Magnitude Exploit Kit을 이용해 아시아 태평양 국가를 주요 타겟으로 하는 랜섬웨어. 랜섬노트와 Tor주소가 작업 스케줄러에 등록되어 15분 혹은 1시간마다 자동으로 연결됨. |
Crysis 변종 | 중국의 유명 보안SW의 파일속성 도용한 랜섬웨어. 컴퓨터를 암호화 할 때 기기의 섀도우 볼륨 복사본들도 모두 삭제해 파일을 복구를 막음. 사용자의 공유 네트워크들을 암호화하여 실제로 접근해야하는 사용자만 권한을 갖도록 한다. |
기업들이 랜섬웨어 감염 피해를 예방하기 위한 다방면의 노력을 하고 있지만, 공격자 역시 방어체계를 우회하기 위해 각종 사회공학적 기법과 취약점을 악용한 감염 시도를 지속하고 있어 여전히 심각한 보안 위협으로 손꼽히고 있습니다.
또한 실제 통계 수치로도 랜섬웨어 공격은 지속적으로 증가하고 있기 때문에 피해를 예방하기 위해서는 운영체제(OS), 백신과 같이 사용 중인 SW의 최신 업데이트를 유지하고 중요한 자료를 수시로 백업하는 등의 기본적인 보안 수칙을 반드시 준수해야 합니다.
이스트시큐리티는 더 안전한 사용자 사용 환경을 만들기 위해 한국인터넷진흥원(KISA)과 긴밀한 협력을 통해 랜섬웨어 정보 수집과 대응을 진행하고 있습니다.