보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
2020년 1분기, 알약 랜섬웨어 공격 행위차단 건수: 185,105건!
2020년 1분기, 알약을 통해 총 185,105건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다.
이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위 기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많을 것으로 예상됩니다.
통계에 따르면, 2020년 1분기 알약을 통해 차단된 랜섬웨어 공격은 총 185,105건으로, 이를 일간 기준으로 환산하면 일 평균 약 2,057건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다.
<'알약 랜섬웨어 행위기반 차단 기능'을 통해 차단된 2020년 1분기 랜섬웨어 공격 통계>
ESRC는 1분기 랜섬웨어 주요 동향으로 랜섬웨어 공격자들의 '코로나 키워드 활용' 및 기존 ‘Sodinokibi&Nemty 랜섬웨어의 건재’를 꼽았습니다.
2019년 2분기부터 크게 유행했던 Sodinokibi, 그리고 3분기경부터 유포되기 시작한 Nemty 랜섬웨어의 경우 2020년 1분기에도 계속 공격이 이뤄지고 있으며 코로나 이슈로 인해 재택근무가 본격적으로 진행된 1분기 기간 중에도 유포 수치가 기존과 큰 차이를 보이지 않고 있는 모습입니다.
또한, 기존 랜섬웨어 공격자들이 랜섬웨어 유포 시 활용했던 다양한 소재들이 '코로나19 바이러스' 키워드로 많이 집중된 모습 역시 관찰되었습니다.
ESRC센터장 문종현 이사는 “2020년 1분기 내 유포된 랜섬웨어 중 기존 랜섬웨어의 변종 형태로 이름을 '코로나바이러스'로 변경하거나 랜섬노트 내에 '코로나' 키워드를 언급하는 케이스들이 다수 발견되었으며, 코로나19 바이러스가 전세계적으로 이슈가 되고 있는 현재 상황에서는 이러한 케이스들이 지속적으로 발생할 것으로 예상된다."고 밝혔습니다.
또한, 기존에 주로 유포되던 Sodinokibi나 Nemty 랜섬웨어 역시 건재한 상황이기 때문에 이메일 열람시 각별히 주의가 필요하다.”라고 강조했습니다.
이밖에 ESRC에서 밝힌 2020년 1분기에 새로 발견되었거나, 주목할 만한 랜섬웨어는 다음과 같습니다.
랜섬웨어 명 | 주요 내용 |
ChineseBAT 변종 | Wuhan China 키워드가 포함된 엑셀파일로 위장하여 유포. 사용자 파일을 암호화 하지만, 다수의 파일이 암호화 되지 않고 삭제됨. |
Deniz Kizi | 2019년 12월 중순 처음 발견, 이후끊임없이 버전업그레이드를 통한 기능 개선을 하고있으며, 가장 최근에 발견된 샘플의 경우 MPRESS 패커를 사용하여 보안SW의 탐지를 우회하려 시도함 |
MBRlock 변종 | 사용자 파일 암호화 후 보여주는 랜섬노트에 'CORONAVIRUS is there' 이라는 키워드가 포함. 파일 암호화 이후에는 PC를 재부팅 시도하지만 부팅 불가 |
NetWalker 변종 | Netwalker Ransomware는 Mailto Ransomware의 변종으로, 최근 Coronavirus 피싱 메일을 통해 유포 중. 복호화 페이지 내 Captcha를 사용함 |
Hakbit 변종 | 코로나 바이러스 이슈를 노리고 이름을 'Corona Ransomware'로 변경. 사용자 PC를 감염시킨 후 보여주는 랜섬노트에 decoder 명이 'Corona decryption'이라 명명되어 있으며, 랜섬노트 최하단에는 'Corona ransomware'라 명시되어 있음 |
Netfilim | Nemty 2.5와 코드상 매우 유사하나 RaaS 구성요소가 제거됨. 노출된 RDP를 노리고 유포되며, Tor가 아닌 이메일통신을 통해 랜섬머니 결제를 유도. 랜섬머니를 지불하지 않는 피해자의 데이터는 공개한다고 협박함 |
코로나19 바이러스 추가감염 예방/조치를 위한 사회적 거리두기에 동참하기 위해 재택근무를 수행하는 기업들이 많습니다. 이러한 상황에서 기업 내부망으로 접속하는 임직원들의 재택근무 단말기에 대한 OS/SW 보안업데이트 점검은 물론, 최근 악성코드/랜섬웨어 유포 케이스에 대한 온라인 임직원 보안교육이 병행되어야 할 것 같습니다.
이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해, 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.