보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
2019년 4분기, 알약 랜섬웨어 공격 행위차단 건수: 207,048건!
2019년 4분기, 알약을 통해 총 20만 7048건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다.
이번 통계는 일반 사용자를 대상으로 제공하는 공개용 알약의 ‘랜섬웨어 행위 기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많을 것으로 예상됩니다.
통계에 따르면, 2019년 4분기 알약을 통해 차단된 랜섬웨어 공격은 총 207,048건으로, 이를 일간 기준으로 환산하면 일 평균 약 2,250건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다.
<'알약 랜섬웨어 행위기반 차단 기능'을 통해 차단된 2019년 4분기 랜섬웨어 공격 건수>
ESRC는 4분기 랜섬웨어 주요 동향으로 Sodinokibi 랜섬웨어의 지속과 Nemty 랜섬웨어의 끊임없는 진화를 이슈로 꼽았습니다.
3분기와 마찬가지로 Sodinokibi 랜섬웨어가 4분기 가장 많이 유포된 랜섬웨어로 확인되었습니다. Sodinokibi 랜섬웨어는 주로 피싱 메일을 통해 국내에 유포되고 있으며, 그 중 상당수가 배후에 리플라이 오퍼레이터(Reply Operator) 조직이 있는 것으로 추정되고 있습니다.
또한 8월 말 처음 등장한 이후 급격한 증가세를 보이고 있는 Nemty 랜섬웨어가 4분기에도 역시 큰 위협이 되고 있습니다.
Nemty 랜섬웨어는 국내에서도 활발히 활동 중에 있으며, 주로 기업들의 공개된 그룹메일에 피싱 메일을 발송하는 방식을 통해 유포 중에 있습니다. ESRC는 피싱 메일 및 악성코드 유포 방식 등 여러 가지 특징을 종합해 보았을 때, 배후에 비너스락커(VenusLocker) 조직이 있을 것으로 확신하고 있습니다.
ESRC 센터장 문종현 이사는 “Nemty 랜섬웨어는 빠른 속도로 진화 중에 있으며, 피싱 메일을 통해 국내에서도 활발히 활동 중에 있다.”라며, “2020년 상반기에도 Sodinokibi랜섬웨어와 함께 국내에서 가장 큰 랜섬웨어의 위협이 될 것으로 예상된다.”라고 밝혔습니다.
이밖에 ESRC에서 밝힌 2019년 4분기에 새로 발견되었거나 주목할만한 랜섬웨어는 다음과 같습니다.
랜섬웨어명 | 특징 |
FTCode PowerShell | PowerShell을 베이스로 작성된 랜섬웨어로, 추가적인 다운로드나 요소들 없이 암호화를 할 수 있다. FTCode는 2013년 소포스가 처음 발견하였으며, 약 6년동안 아무런 행위도 관찰되지 않다가 2019년 10월 FTCode PowerShell Ransomware로 발견되었다. |
CYBORG | 11월 초에 처음 발견되었다. 피싱 메일을 통해 유포되며, ‘최신 윈도우 업데이트를 설치하십시오’라는 문구로 사용자들을 유혹한다. 감염 후에는 파일 암호화 이후 .petra, .777 등의 확장자로 변환한다. |
MedusaLocker | 2019년 9월말 처음 발견, 유포방식은 아직 밝혀지지 않았지만, RDP방식을 통해 유포된것으로 추정되며, 웹서버와 일반PC를 감염시킨다. |
DEATHRansom | 2019년 초 처음 발견되었으나, 발견당시에는 단순히 암호화하는 시늉만 하여 피해자가 단순히 암호화 확장자를 제거하면 파일을 원상복구 할 수 있었다. 하지만 2019년 11월 20일경 변종이 발견되었는데 이 변종은 실제로 파일을 암호화 함. 해당 랜섬웨어는 GandCrab, Sodinokibi, Nemty와 동일한 패커를 사용한다. |
AnteFrigus | 11월 초 발견, AnteFrigus라는 이름을 갖고있지만, 랜섬노트 파일명, 랜섬노트 내용 등 Sodinokibi 랜섬노트와 매우 유사한 특징을 갖고있음. 특이한점은 C드라이브는 암호화를 하지 않으며, D,E,F,I,U,G드라이브를 대상으로 암호화를 진행한다. 그래서 일반적인 사용자가 아닌 특정 컴퓨터 드라이브만을 대상으로 하는 APT 공격이 아닌가 라고 추측되고 있다. |
ESRC 센터장 문종현 이사는 “공격자들은 주로 홍보나 고객지원, 채용 등 외부활동을 위해 기업들이 공개해 놓은 그룹 메일 주소로 랜섬웨어가 포함된 피싱 메일을 발송한다. 이러한 기업 메일 주소는 다양한 채널을 통해 이메일을 수신하기 때문에 피싱 메일도 아무런 의심 없이 열어볼 수 있다”며, “첨부파일이나 링크가 포함되어 있는 이메일을 열어 볼 때에는 항상 주의를 기울여야 하며, 주기적인 백업을 습관화해야 한다”라고 당부하였습니다.
또한 “Windows 7이 1월 14일 지원이 종료되기 때문에, 현재 Windows 7을 사용하는 기업들은 빨리 상위 버전으로 마이그레이션을 하여 랜섬웨어의 위협을 최소화해야 한다”고도 밝혔습니다.
한편, 이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해, 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.