보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
2023년 2분기 알약 랜섬웨어 행위기반 차단 건수 총 43,645건!
안녕하세요. 이스트시큐리티 시큐리티대응센터(ESRC)입니다.
2023년 2분기 자사 백신 프로그램 ‘알약’에 탑재되어 있는 ‘랜섬웨어 행위기반 사전 차단’기능을 통해 총 43,645건의 랜섬웨어 공격을 차단했으며, 이를 일간 기준으로 환산하면 일 평균 485건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다.
이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과입니다.
이 밖에 ESRC에서 선정한 2023년 2분기 주요 랜섬웨어 동향은 다음과 같습니다.
1) babuk 랜섬웨어 소스코드를 이용한 랜섬웨어 변종의 대거 등장
2) 암호화 속도가 가장 빠른 로르샤흐(Rorschach) 랜섬웨어 등장
3) 윈도우, 리눅스 및 맥OS를 모두 감염시킬 수 있는 새로운 랜섬웨어
4) 랜섬웨어의 공격방식도 지속적으로 진화하고 있습니다.
5) 중소기업만 노리는 랜섬웨어인 에잇베이스(8base) 랜섬웨어의 활동 급증하였습니다.
Babuk Locker 랜섬웨어는 21년 1월 처음 등장한 기업용 랜섬웨어로, 피해자에 따라 고유 확장자, 랜섬노트, Tor URL등을 달리 하였을 뿐만 아니라 이중 갈취 전략을 사용하며 활발한 활동을 이어나갔습니다. 하지만 21년 6월 말, 어떠한 이유에서인지 Babuk Locker의 랜섬웨어 빌더가 온라인에 유출되었습니다.
이후 22년 하반기 및 23년 상반기에 Babuk Locker 소스코드를 이용해 제작된 랜섬웨어들의 변종들이 대거 발견되었으며, 2023년 4월에 처음 발견된 RA Group 랜섬웨어 역시 Babuk 랜섬웨어의 유출된 코드를 활용하여 제작되었습니다.
RA Group 랜섬웨어는 2023년 4월 22일 다크웹에 데이터 유출 사이트를 개설하며 외부에 알려졌습니다. 주로 미국과 한국의 제조, 자산관리, 보험, 제약 등의 사업 분야를 타깃으로 하며, 국내의 제약회사 한곳도 해당 랜섬웨어 그룹의 공격으로 인해 내부정보가 유출되었습니다.
이 밖에도 AstraLocker, Mario, RTMLocker 랜섬웨어 등 많은 랜섬웨어들이 유출된 Babuk Locker 소스코드를 재활용하여 제작된 것으로 확인되었습니다. 많은 공격자들이 Babuk Locker 소스코드를 이용하는 이유는 Linux 기반의 랜섬웨어로 ESXi 서버를 대상으로 하는 공격에 사용할 수 있기 때문이라고 추측하고 있습니다.
로르샤흐(Rorschach)라는 이름의 새로운 랜섬웨어가 발견되었습니다.
RaaS 세계에서 빠른 암호화 속도는 다른 랜섬웨어들과의 경쟁력 조건 중 하나입니다. Lockbit 3.0 랜섬웨어는 지금까지 발견된 랜섬웨어들 중 암호화 속도가 가장 빨랐습니다. 하지만 Lockbit 3.0 랜섬웨어보다 암호화 속도가 약 2배 더 빠른 로르샤흐(Rorschach)라는 이름의 새로운 랜섬웨어가 발견되었습니다.
이 랜섬웨어는 23년 4월 처음 발견되었으며, 해당 랜섬웨어 역시 Babuk 랜섬웨어 코드의 변종으로 확인되었습니다.
로르샤흐 랜섬웨어는 상용 보안 SW의 서명된 구성 요소를 사용하여 유포되었습니다. Windows 도메인 컨트롤러(DC)에서 실행될 때 자동으로 그룹 정책을 생성하여 네트워크를 통해 빠르게 전파되며 "syscall"명령을 사용하여 직접 시스템 호출을 수행합니다. LockBit 및 Babuk을 포함한 다른 많은 랜섬웨어 변종과 마찬가지로 로르샤흐 랜섬웨어 역시 전체 파일 내용이 아닌 파일의 일부만 암호화하여 암호화 속도를 향상시키고 효율성을 높혔습니다. 다만, 이중 갈취를 위해 데이터를 유출하지는 않는 것으로 확인되었습니다.
윈도우, 리눅스 및 맥OS를 모두 감염시킬 수 있는 새로운 랜섬웨어가 발견되었습니다.
새로 발견된 Cyclops 공격 그룹은 RaaS 서비스를 통해 윈도우, 리눅스 및 맥OS를 모두 감염시킬 수 있는 랜섬웨어를 제공합니다. MacOS 및 Linux 버전의 Cyclops 랜섬웨어는 Go언어로 작성되어 있으며, 비대칭 암호화 및 대칭 암호화가 혼합된 복잡한 암호 알고리즘을 사용합니다. 뿐만 아니라 다양한 민감 데이터를 탈취하기 위하여 Go 기반의 인포스틸러도 제공합니다. 이 인포스틸러는 Windows 및 Linux 시스템을 대상으로 설계되어 운영체제 정보, 컴퓨터 이름, 특정 확장자와 일치하는 파일 등의 세부정보를 캡쳐하며, 특정 확장자 파일에 대해서는 수집하여 원격 서버로 전송합니다.
Cyclops 랜섬웨어의 암호화 알고리즘 및 문자열 난독화 기술은 Babuk 랜섬웨어와 LockBit랜섬웨어와 유사하여, 이 두 랜섬웨어와의 연관성이 있다고 추측되고 있습니다.
랜섬웨어의 공격방식도 지속적으로 진화하고 있습니다.
BlackCat 랜섬웨어는 최근 보안 SW를 탐지를 피하기 위하여 서명된 악성 Windows 커널 드라이버를 사용하는 것이 포착되었습니다. 분석결과 악성 윈도우 커널 드라이버는 22년 말 랜섬웨어 공격에 사용된 푸어트리(POORTRY) 악성코드의 업데이트 버전으로, MS 윈도우 하드웨어 개발자 프로그램에서 도난당한 키를 사용해 서명된 윈도우 커널 드라이버입니다. 공격자는 탈취하거나 유출된 교차 서명 인증서를 통해 서명된 업데이트된 POORTRY커널 드라이버를 배포하였으며, 이를 이용하여 해킹된 시스템에서 권한상을을 하고 보안 에이전트와 관련된 프로세스를 중지하는 등의 기능을 수행합니다.
최소한의 흔적만을 남겨 분석을 어렵게 하는 랩쳐(Rapture) 라는 랜섬웨어가 발견되었습니다.
해당 랜섬웨어는RSA 키 구성 파일을 사용하고 .net 실행파일로 컴파일 한다는 점에서 파라다이스 랜섬웨어와 유사하지만 Themida를 이용하여 패킹하고 최소한의 흔적만을 남겨 분석을 어렵게 한 특징이 있습니다.
23년 6월에는 Clop 랜섬웨어 그룹이 MFT 솔루션인 무브잇 Transfer에서 SQL 인젝션 취약점을 이용하여 공격을 진행하는 것이 확인되었습니다. 분석결과, 클롭(Clop) 랜섬웨어는 이미 2년 전에 해당 취약점에 대해 이미 알고있었으며, 2021년 7월부터 해당 취약점을 익스플로잇 할 수 있는 방법에 대해 여러 실험을 진행하였다는 점이 확인되었습니다. 하지만 클롭 조직은 무브잇 취약점을 이용한 공격을 진행하지 않고 있다가, 23년 6월 1일부터 공격을 시작하였으며, BBC, 영국항공 등 무브잇 트랜스퍼를 사용하는 많은 기업들이 피해를 입었습니다.
중소기업만 노리는 랜섬웨어인 에잇베이스(8base) 랜섬웨어의 활동 급증하였습니다.
에잇베이스(8base) 랜섬웨어는 22년 3월 처음 등장하였지만 활발한 활동을 하지 않았습니다. 이 랜섬웨어는 주로 보안이 취약한 중소기업들을 공격 대상으로 삼으며, 23년 4~5월까지는 소수의 공격만 진행했지만 6월부터 그 활동이 급증하였으며 현재까지 이미 80개가 넘는 조직이 해당랜섬웨어에 공격을 당한것으로 확인되었으며, 6월 한달간 가장 많은 공격을 진행한 랜섬웨어 그룹 순위 중 2위를 차지하였습니다. 해당 랜섬웨어에 대해 분석을 한 결과 랜섬노트와 유출사이트가 RansomHouse 랜섬웨어와 매우 유사하여 RansomHouse와 관련이 있을 것으로 추정하였지만, 또 다른 분석가는 8base 랜섬웨어가 최근 공격에서 사용한 이메일 확장자가 Phobos 랜섬웨어가 사용한 이메일 주소와 동일한 점을 이유로 Phobos 랜섬웨어와 관련이 있는 것이 아닌지 추정하고 있다. 하지만 8base 랜섬웨어와 관련하여 아직 알려진것이 많이 없어 확실한건 아직 아무것도 없습니다.
이 밖에 ESRC에서 선정한 2023년 1분기 새로 발견되었거나 주목할 만한 랜섬웨어는 다음과 같습니다.
랜섬웨어명 | 주요내용 |
Rorschach | 23년 4월 처음 등장한 랜섬웨어로, 암호화 속도가 락빗3.0(Lockbit 3.0)보다 2배 가까이 빠름. 암호화 속도를 빠르게 해주는 하이브리드 암호화 기술을 포함한 다양한 서비스들은 바북(Babuk) 랜섬웨어의 특징으로 바북 랜섬웨어의 변종으로 추정됨. |
8base | 22년 3월 처음 등장하였지만 소극적 행보를 보여오다 23년 6월 활발한 활동을 진행함. 주로 중소 기업들을 공격 대상으로 삼으며 감염 후 파일 확장자를 .8base로 변경. 분석결과 RansomHouse의 변종으로 추정됨. |
RA Group | RA Group은 23년 4월 처음 등장하였으며, 주로 미국과 한국의 제조, 자산관리, 보험, 제약 등의 사업 분야를 타깃으로 함. 탈취한 정보를 웹상에 공개할 때 피해자의 세부 정보와 탈취한 데이터를 공개하는 이중 갈취 수법을 사용함. 바북(Babuk)랜섬웨어의 변종으로 추정됨. |
RTMLocker | RTM은 Read the Manual의 준말로 RaaS를 제공하는 단체로 해당 그룹의 새로운 랜섬웨어인 RTM Locker가 발견되었다. RTM Locker 랜섬웨어는 Linux, NAS 및 ESXi 호스트를 감염시키며 Babuk 랜섬웨어의 유출된 소스 코드의 변종으로 추정된다. |
Mario | Mario 랜섬웨어는 Ransom House 그룹에서 운영하는 랜섬웨어로, 랜섬노트에 지침을 매우 구체적으로 제공하는 것이 특징이다. |
Blackcat | Blackcat 랜섬웨어는 21년 11월에 등장한 랜섬웨어로 ALPHV, AlphaVM, AlphaV 라고도 불림. 크로스 플랫폼 언어인 Rust로 작성된 첫번째 RaaS이다. |
이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.