랜섬웨어, 아무도 없을 때 가장 많이 배포된다
상태바
랜섬웨어, 아무도 없을 때 가장 많이 배포된다
  • 최형주 기자
  • 승인 2020.03.20 13:40
  • 댓글 0
이 기사를 공유합니다

파이어아이, '랜섬웨어 배포 트렌드 리포트' 발표

[CCTV뉴스=최형주 기자] 보안기업 파이어아이의 맨디언트 인텔리전스(Mandiant Intelligence) 연구팀이 2017년부터 2019년까지의 랜섬웨어 침해사고 대응 사례를 조사·연구한 ‘랜섬웨어 배포 트렌드 리포트’를 발표했다.

맨디언트가 조사한 랜섬웨어 건수는 2017년부터 2019년까지 860% 증가했다. 이 중 대다수의 사례는 사전 공격으로 인해 사용자의 시스템을 먼저 감염시킨 후, 랜섬웨어를 배포하는 전술을 사용하고 있다. 이 같은 치밀한 공격으로 공격자들은 금전적 이익을 극대화하려는 것으로 나타났다.

보고서에 따르면 2년 동안 배포된 랜섬웨어 사례는 다음과 같은 특징을 보였다. 우선 초기 침입 벡터, 체류시간 및 랜섬웨어 배포에 걸리는 기간에 공통점이 존재하며, 사이버 범죄 그룹들은 이익을 극대화 하기 위해 공격전술을 진화시키고 있다.

북미, 유럽, 아시아 태평양 및 중동 지역의 금융, 화학, 법률, 헬스케어를 포함한 전문 서비스 영역 뿐 아니라 공공기관까지 거의 모든 산업을 대상으로 공격 활동 펼치는 것으로 확인됐고, FIN6 와 TEMP.MixMaster 같은 공격 그룹들이 금전 탈취의 목적을 가지고 침입한 사례도 발견됐다.

랜섬웨어 침해사고에서 공통적으로 발견된 공통적인 초기 공격 벡터로는 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)과 악성 링크 또는 첨부파일을 통한 피싱이 있다. RDP는 상대적으로 2017년에 가장 많이 발견됐고, 2018년과 2019년에는 감소하는 추세를 보인다.

이러한 초기 공격 벡터를 통해 공격자들은 피해자가 멀웨어를 다운로드 하도록 유도해 후속 공격 활동을 이어간 것을 알 수 있다. 또한 랜섬웨어가 사용자와 접촉하지 않고도 다양한 방법으로 피해자의 환경에 진입할 수 있다는 점을 시사한다.

랜섬웨어 피해 사례에서 악성 활동이 감지된 후, 랜섬웨어가 배포되기까지 걸린 시간은 대부분 대부분 0-299일 사이였다. 침해 사고 중 75%는 악성 활동 최초 감지부터 랜섬웨어 배포까지 적어도 3일이 걸린 것으로 나타났다.

이처럼 최초 침입 이후 랜섬웨어 배포까지의 기간이 적지 않다는 것은, 침해 사고를 초기에 탐지 및 차단하고 신속하게 조치한다면 많은 조직이 랜섬웨어 감염으로 인한 심각한 피해와 그에 따른 금전적인 손실을 줄일 수 있음을 뜻한다.

파이어아이는 랜섬웨어가 직원이 근무하는 시간을 피해 배포된다고 밝혔다.

 

랜섬웨어 침해사고 중 76%는 근무시간 외에 일어나는 것으로 나타났다. 해커들은 공격 대상의 근무 시간을 주말 혹은 평일 오전 8시 이전, 오후 6시 이후에 공격을 실행하는 것으로 조사됐다.

파이어아이는 “랜섬웨어 공격에 따른 피해자가 감당해야 할 손실과 비용이 크고, 최근 몇 년간 사이버 공격 그룹이 진화하며 랜섬웨어 감염을 통한 피해도 증가하고 있다”며 “최초 공격부터 랜섬웨어 배포까지 시간차가 존재하는 만큼, 보안 담당자가가 신속하게 대응한다면 심각한 피해는 입지 않을 것”이라고 전했다.

 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.