보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
22년 3분기 랜섬웨어 동향
ESRC는 2022년 3분기 랜섬웨어 주요 동향을 다음과 같이 선정하였습니다.
1) LockBit 3.0 위협 지속 및 랜섬웨어 빌더 유출
2) 매그니베르(Magniber) 랜섬웨어 확장자 변경을 통한 지속 유포
3) 북한 배후 랜섬웨어
4) 국내 기업을 타깃으로 하는 랜섬웨어
5) Go 프로그래밍 언어로 작성된 새로운 타깃형 랜섬웨어
22년 7월 초 LockBit 3.0 버전이 발견되었습니다. 2019년 처음 등장한 서비스형 랜섬웨어(RaaS)인 LockBit이 등장 이후 꾸준히 업데이트 후 활동을 해오고 있으며, 저작권, 입사지원서를 위장한 이메일을 통해 국내에도 지속적으로 유포되고 있습니다.
그리고 9월 말, LockBit 3.0 빌더가 외부에 공개되었는데, 공개된 빌더를 이용하면 비 전문가도 쉽게 LockBit 3.0 랜섬웨어를 커스터마이징하여 제작할 수 있어 LockBit 3.0의 위협은 지금보다 더 증가할 것으로 예상되고 있습니다.
매그니베르 랜섬웨어는 2017년 Cerber 랜섬웨어의 후속작으로 등장하였으며, 현재까지 활발히 활동 중인 랜섬웨어 입니다. 유포 방식은 지속적으로 변화 중입니다.
최근에는 대량 유포를 위하여 타이포스쿼팅 및 광고 서버 해킹을 통해 불특정 다수에게 업데이트 파일로 위장한 파일을 자동으로 내려주는 공격 방식을 사용하고 있으며, 유포 파일의 확장자도 msi, cpl, jse, jse, wsf 등 지속적으로 변경하여 보안 프로그램 우회를 시도하고 있습니다.
이러한 공격 방식의 경우, 광고가 포함된 정상 페이지를 통해서도 악성 프로그램 유포가 가능하며, 이를 통해 쉽게 사용자들의 실행을 유도할 수 있다는 특징이 있어 사용자 여러분들의 각별한 주의가 필요합니다.
북한은 암호화폐 탈취를 통한 외화벌이 활동을 벌이고 있습니다. 이 활동에는 해킹뿐만 아니라 랜섬웨어 제작 및 유포도 포함됩니다.
21년 5월, 의료 및 공중보건 분야를 공격 대상으로 하는 Maui 랜섬웨어가 등장했으며, 21년 6월, H0lyGh0st 랜섬웨어가 여러 국가의 기업들을 공격하기도 하였습니다. 해당 랜섬웨어들의 배후에는 북한의 지원을 받는 공격 조직이 있는 것으로 추정되고 있습니다.
3분기에는 많은 기업들이 국내 기업을 타깃으로 하는 랜섬웨어의 희생양이 되었습니다.
귀신(Gwisin) 랜섬웨어는 21년 하반기 처음 등장하여 국내 기업들을 공격한 후 공격 활동이 잦아 들었다가 22년 3분기 많은 국내 기업들을 공격하여 피해를 야기하였습니다. 귀신 랜섬웨어는 한글을 사용하며, 랜섬노트에 국정원, KISA 등의 전문기관을 언급하는 등의 특징을 갖고 있어 한글을 사용하는 조직이 배후에 있는 것으로 추정되고 있습니다.
주로 공휴일이나 새벽과 같이 사람들이 많이 활동하지 않은 시간대에 공격을 진행하였으며, 기업별 맞춤형 랜섬웨어를 유포하는 등 높은 수준의 공격 기술을 보유하고 있습니다. 인크립트(EnCrypt) 랜섬웨어 역시 7월 초 국내 콜택시 관리 업체를 공격하여 전국의 콜택시 운영을 마비시켰습니다.
랜섬웨어 공격 조직들이 Go 언어를 사용하기 시작하였습니다.
Go 언어는 21년 3월 정식 발표된 프로그래밍 언어로, Golang으로 불리기도 합니다. Go 언어는 플랫폼에 구애받지 않고 분석 난이도가 높기 때문에 공격자들의 환영을 받고 있으며, 최근 Go 언어로 제작된 랜섬웨어들도 발견되었습니다.
Agenda 랜섬웨어는 다양한 국가의 의료 및 교육기관을 공격 대상으로 하고 있으며, '안전모드' 기능을 이용하여 보안 프로그램의 탐지 회피를 시도합니다. 또한 22년 7월 등장한 BianLian 랜섬웨어는 제조, 교육, 헬스케어 등의 분야를 타깃으로 하고 있으며 끊임없이 변화하고 새로운 기능이 추가되고 있습니다.
앞으로 Go 언어로 제작된 랜섬웨어는 더욱더 증가할 것으로 추정됩니다.
이 밖에도 취약한 MS-SQL 서버, VMware ESXI를 타깃으로 하는 랜섬웨어 위협이 지속되고 있으며, 새로운 유포 전략과 탈취 전략 등 공격 방식과 협박 방식이 꾸준히 변화하고 있는 등 랜섬웨어의 위협은 날로 거세지고 있습니다.
이 밖에 ESRC에서 선정한 2022년 3분기 새로 발견되었거나 주목할 만한 랜섬웨어는 다음과 같습니다.
랜섬웨어명 | 주요내용 |
LockBit 3.0 | 22년 7월 초 발견된 랜섬웨어로, 19년 9월 처음 등장한 서비스형 랜섬웨어(RaaS) LockBit의 3번째 업데이트 버전. 랜섬웨어 최초로 버그바운티 프로그램을 운영하여 완성도를 높이려 시도함. 8월 초 국내에서도 유포되기 시작하였으며, 9월 말 LockBit 3.0 랜섬웨어 빌더가 온라인에 유출됨. |
H0lyGh0st | 21년 6월 등장한 랜섬웨어로, 21년 9월부터 여러 국가의 중소기업들을 대상으로 공격 진행. 암호화 이후 파일 확장자를 .h0lyenc로 변경한 후 파일 샘플을 피해자에게 전송하며 랜섬머니를 요구. 배후에 북한이 있는 것으로 추정됨. |
Play | 22년 7월 등장한 랜섬웨어로, 파일 암호화 이후 확장자를 .play로 변경함. 랜섬 노트에는 play라는 단어와 함께 이메일 주소만을 표기함. |
Luna | 3번째로 발견된 Rust 언어로 제작된 랜섬웨어. 러시아어를 사용하는 시스템에서만 동작하며, 내부 하드코딩 된 랜섬노트에서는 맞춤법 오류가 확인되어 러시아어를 구사할 수 있는 조직이 배후에 있을 것으로 추정됨. |
Lilith | 22년 7월 등장한 랜섬웨어로 감염 후 확장자를 lilith로 변경함. 파일을 암호화 하기 전 시스템 내 파일들을 탈취하며 랜섬머니를 요구함. 랜섬머니 지불기한을 4일로 정하고, 지불하지 않을 시 자신들이 운영하는 사이트에 탈취한 데이터를 공개함. |
Moisha | 22년 8월 중순 등장한 .net기반 랜섬웨어. 암호화 후 파일 이름이나 확장자를 변경하지 않으며, 감염 후 동일한 네트워크의 다른 컴퓨터로 확산 시도. |
SolidBit | Yashma 랜섬웨어의 변종으로, 게임 및 SNS 사용자를 공격 대상으로 함. .net으로 제작되었으며LockBit 랜섬웨어의 일부 요소를 사용한 특징이 있음. |
점점 더 많은 공격자들이 랜섬웨어 공격에 참여하고 있고, 공개된 랜섬웨어 빌더를 이용하면 비 전문가도 쉽게 랜섬웨어를 제작할 수 있는 만큼, 4분기에는 더 많은 랜섬웨어 변종과 함께 새로운 공격 방식을 이용한 공격이 나타날 것으로 예상되고 있습니다.
기업 보안담당자 여러분들께서는 사내 시스템에 존재하는 취약점에 대한 빠른 패치를 진행하시고, 만일 바로 패치를 적용할 수 없는 상황이라면 임시 조치를 통하여 랜섬웨어의 공격을 완화하시기를 권고 드립니다. 또한 주기적인 임직원 보안 인식 교육을 통하여 사회공학적 기법을 통한 공격에도 대비하셔야 합니다.
개인 사용자 여러분들께서는 알약과 같은 백신 설치, 자주 사용하는 SW를 항상 최신 버전으로 유지 및 주기적인 백업 등 보안조치를 통하여 랜섬웨어 공격을 차단하고, 랜섬웨어에 감염되어도 그 피해를 최소화시킬 수 있도록 하여야 합니다.
이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해, 한국 인터넷진흥원(KISA) 과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.