본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

2019년 2분기 알약을 통해, 총 24만 7천727건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다.


이번 통계는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격수를 기준으로 집계되었습니다. 통계에 따르면 2019년 2분기에는 알약을 통해 랜섬웨어 공격이 총 247,727건 차단되었으며, 이를 일간 기준으로 환산하면 일평균 약 2,723건의 랜섬웨어 공격이 차단된 것입니다.


<'알약 랜섬웨어 행위기반 차단 기능'을 통해 차단된 2019년 1분기 랜섬웨어 공격 건수>


이는 일반 사용자를 대상으로 제공하는 공개용 알약의 랜섬웨어 행위기반 차단 기능을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격수는 더욱 많다고 볼 수 있겠습니다.


시큐리티대응센터(이하 ESRC)는 이번 2분기 랜섬웨어 주요 동향으로, 2018년 1월 처음으로 등장해 2019년 1분기까지 꾸준한 버전 업데이트가 이뤄졌던 갠드크랩(GandCrab) 랜섬웨어의 운영이 6월 초 중단된 이슈를 꼽았습니다. 


실제로 ESRC의 모니터링 결과 갠드크랩 랜섬웨어 제작자들이 블랙마켓에 운영 중단을 선언한 이후 무료 복호화툴이 공개되었고, 알약에서 해당 랜섬웨어를 탐지 및 차단한 통계 수치도 5월과 6월사이 현저히 줄어든 것으로 나타났습니다.  

다만 이 같은 갠드크랩 랜섬웨어 공격 감소를 대체해, 지난 4월 말 등장한 소디노키비(Sodinokibi) 랜섬웨어 공격이 급증하고 있는 추세가 나타나고 있는 점은 주목할 만한 부분입니다.


ESRC 센터장 문종현 이사는 “소디노키비 랜섬웨어가 공격방식, 코드 유사점, 활용하는 서브도메인, 감염제외대상 언어팩, 연결되는 유포 시기 등 여러가지 면에서 기존 갠드크랩 랜섬웨어와 유사한 형태를 띠고 있다”며, “이러한 점으로 미루어보아 소디노키비 랜섬웨어는 갠드크랩 랜섬웨어와 동일한 공격 그룹이 운영하는 것으로 판단된다”고 언급했습니다.


한편 알약을 통해 수집한 2019년 2분기 랜섬웨어 차단 통계를 살펴보면, 랜섬웨어 차단 수치는 지난 2019년 1분기와 대비해 약 22% 대폭 감소한 것으로 나타났습니다.


랜섬웨어 공격이 대폭 감소한 주요 원인으로는 5월부터 유포가 급격히 줄어든 갠드크랩 랜섬웨어 영향으로 판단됩니다. 이 밖에 암호화폐 채굴(이하 마이너) 악성코드가 주로 채굴을 시도하는 모네로(XMR) 암호 화폐의 시세 상승에 따른, 마이너 악성코드 증가도 랜섬웨어 공격 감소의 한 원인으로 보입니다.


2019년 2분기에 새로 발견되었거나 주목할 만한 랜섬웨어는 다음과 같습니다.



섬웨어명

특징

vxCrypter

.NET 기반의 랜섬웨어로, vxLock라는 오래된 랜섬웨어를 기반으로 만들어졌으며, 암호화된 각 파일의 SHA256 해시를 추적하여 같은 SHA256 해시가 발견되면 파일을 삭제하는 특징을 가진 랜섬웨어

RobbinHood

네트워크 전체를 공격 타깃으로 하며, 암호화를 해제하는 조건으로 비트코인을 요구. 피해자의 프라이버시를 보호해준다고 주장하면서, 랜섬머니를 지불한 피해자를 공개하지 않을 것이라는 내용을 강조하는 것이 특징이며, 공격자에게 메시지를 보내거나 10MB 이하의 파일 3개를 무료로 복호화 해주는 TOR 사이트 링크가 랜섬노트에 포함됨

Dharma

ESET AV Remover를 사용해 주의를 끌어, 백그라운드에서 하드웨어 파일을 암호화하는 변종 Drama 랜섬웨어. 스팸 메일을 통해 타깃 컴퓨터로 전달되며, Dharma 드로퍼 바이너리를 포함한 Defender.exe을 유포.

Shade

악성 스팸 이메일을 통해 배포되며, 아카이브 파일로 연결되는 링크 또는 파일을 첨부하고 있거나, 인보이스로 위장한 PDF 파일을 첨부. 이러한 링크와 첨부파일은 랜섬웨어 실행 파일을 다운로드하는 자바스크립트 또는 기타 스크립트 기반 파일로 연결됨

Sodinokibi

2019 4월말 새롭게 발견된 랜섬웨어로 초기 오라클 웹로직 서버(WebLogic Server)의 제로데이 취약점을 통해 유포되었으며, 파일을 암호화할 뿐만 아니라 백업 파일도 삭제 가능함. 감염된 PC의 바탕화면을 파란색 화면으로 변경하는 것이 특징. 현재는 이메일 첨부파일로 주로 유포되며, GandCrab을 유포했던 조직과 같은 공격조직이 유포하는 악성코드로 추정

MegaCortex

영화 매트릭스 테마를 이용한 랜섬웨어로, 감염되면 사용자 PC 화면에 매트릭스의 모피어스 캐릭터를 연상시키는 랜섬노트가 나타나며, 손상된 도메인 컨트롤러에서 리버스 쉘을 생성하기 위한 Cobolt Strike를 배포하고, 원격으로 도메인 컨트롤러에 접근하여 PsExec 복사본, 악성코드 실행 파일 및 배치 파일을 감염된 네트워크의 모든 컴퓨터에 배포하도록 구성된 랜섬웨어


ESRC 센터장 문종현 이사는 “새롭게 발견된 소디노키비 랜섬웨어나 1분기부터 기업을 타깃으로 중앙 전산 자원관리(AD) 서버를 노리고 있는 클롭(Clop) 랜섬웨어 등 이메일 첨부파일을 통한 공격이 지속되고 있다”며, “이 공격들은 주로 국가기관, 금융회사, 기업보안담당자 메일로 위장해 첨부파일을 열어보도록 유도하고 있으며, 첨부파일을 실행하면 랜섬웨어 감염에 따른 중요 문서 암호화는 물론 기업 내부 네트워크 정보와 시스템 정보가 외부로 유출될 수 있다”고 주의를 당부했습니다.


랜섬웨어의 위협에 대비하여 시스템운영체제와 어플리케이션을 항상 최신버전으로 업데이트 및 유지하시길 권고드리며, 랜섬웨어의 주요 공격 통로는 이메일 첨부파일이고 첨부파일에는 문서파일, 실행파일, 스크립트 등 다양한 형태가 포함되어 있는 점을 인지하시고, 출처가 불분명한 메일에 첨부된 URL링크가 첨부파일을 실행하는 경우에는 매우 주의를 기울이셔야 합니다. 


이스트시큐리티는 국내 사용자의 랜섬웨어 감염 피해를 미연에 방지하기 위한 상시 모니터링 및 대응 체계 유지와 동시에, 한국인터넷진흥원(KISA)과의 랜섬웨어 정보 수집, 대응 협력을 진행하고 있습니다. 더욱 발전된 기술로 세상을 안전하게 만들고자 힘쓰겠습니다.


감사합니다.