![2023년 3분기 알약 랜섬웨어 행위 기반 차단 통계[출처: 이스트시큐리티 제공]](/news/photo/202310/236180_239619_2425.png)
보안 기업 이스트시큐리티의 백신 프로그램 '알약'이 2023년 3분기에 총 4만 1065건의 랜섬웨어 공격을 차단한 것으로 집계됐다. 일 평균 446건의 랜섬웨어 공격이 차단된 셈이다.
이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신 프로그램에 탑재된 '랜섬웨어 행위 기반 사전 차단 기능'을 통해 차단된 공격만을 집계한 결과로 패턴 기반 탐지 건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상된다.
이스트시큐리티는 2023년 3분기 랜섬웨어 주요 동향으로 ▲클롭(Clop) 랜섬웨어 조직의 무브잇(MOVEit) 취약점을 이용한 공격 지속 ▲3AM 랜섬웨어 등장 ▲VMware ESXi 서버를 타깃으로 한 랜섬웨어 공격의 지속 ▲락빗(LockBit) 랜섬웨어의 쇠퇴로 선정했다.
먼저 5월 27일, 클롭 랜섬웨어 조직이 무브잇 트랜스퍼(MOVEit Transfer) 제로데이 취약점을 악용하여 데이터 탈취 공격을 진행했다. 무브잇이 빠른 패치를 내놓았고 이후 2개의 추가 취약점을 해결했지만, 무브잇 취약점을 이용한 공격은 3분기까지 지속되었다. 이 공격으로 인해 약 500개의 조직과 3500만 명의 개인이 피해를 입은 것으로 확인되었으며, 공격자들은 약 1억 달러 이상의 수익을 거두었을 것으로 추정된다.
클롭 랜섬웨어 그룹이 이번 공급망 취약점을 이용한 공격에서 큰 성공을 거두면서 이를 모방한 다른 랜섬웨어 조직들도 새로운 공급망 취약점을 찾아 공격에 활용할 가능성이 높아질 것으로 예상된다. 기업 보안 담당자들은 사내에서 사용하는 SW들을 항상 최신 버전으로 유지하면서 보안 취약점을 최소화 해야 한다.
둘째로, 새롭게 발견된 3AM 랜섬웨어는 Rust 언어로 작성되었으며 기존에 알려진 랜섬웨어 제품군과는 관련 없는 새로운 랜섬웨어 계열로 추정되고 있다. 특이한 점은 공격자들이 락빗 랜섬웨어 배포 시도 후 실패할 경우 3AM 랜섬웨어를 배포한다는 것이다.
3AM 랜섬웨어는 파일을 암호화 하기 전 다양한 보안 및 백업 제품 등 여러 서비스를 중지하려고 시도하며 암호화 완료 후에는 볼륨 섀도 복사본 삭제를 시도한다. 랜섬 행위 외에 다양한 코발트 스트라이크(Cobalt Strike) 구성 요소를 실행하고 PsExec를 사용해 시스템 권한 상승을 시도한다. 이 공격으로 암호화된 파일은 확장자가 .threeamtime으로 변경된다.
단일 공격에서 두 종류의 랜섬웨어를 유포하는 것이 처음 발견된 것은 아니지만 현재 제일 활발하게 공격을 진행 중인 락빗 랜섬웨어 공격의 대체 수단으로 사용되었다는 점만으로도 3AM 랜섬웨어를 충분히 주목할 필요가 있다.
셋째, VMware ESXi를 타깃으로 하는 랜섬웨어 공격도 지속되었다. 많은 기업들이 더 나은 성능 및 리소스 관리를 위하여 가상화 환경을 구축하고 있으며 VMware ESXi는 가장 인기 있는 가상머신 플랫폼 중 하나이다.
몬티(Monti) 랜섬웨어는 2022년 6월 처음 발견되었으며 의도적으로 콘티(Conti) 랜섬웨어를 모방한 이름과 공격 기법을 사용한다. 심지어 콘티의 유출된 소스코드를 사용하기도 했다.
이 조직은 2023년 8월 새로운 리눅스(Linux) 기반의 랜섬웨어를 공개했는데, 기존에 유출되었던 콘티의 소스코드를 기반으로 제작된 이전 버전과는 달리 새로운 버전은 다른 암호화 방식을 사용하며 파일 크기를 기준으로 암호화 할 파일을 선정하는 것으로 확인됐다. 암호화된 파일은 확장자가 .monti로 변경된다.
또한 2023년 3월에 등장한 아비스 락커(Abyss Locker)의 리눅스 버전이 VMware ESXi 서버를 타깃으로 공격을 진행중인 것이 확인되었다. 아비스 락커 랜섬웨어 역시 기업 네트워크에 침투하여 데이터를 탈취하고 암호화 랜섬 머니를 지불하지 않을 시 Abyss-data라는 Tor 사이트에 데이터를 유출한다.
분석 결과 VMware ESXi 관리툴 명령어인 'esxcli'를 이용하여 사용 가능한 가상 머신들을 모두 종료하는 것을 보아 해당 랜섬웨어가 VMware ESXi 서버를 공격 대상으로 하고 있다는 점을 알 수 있다.
마지막으로, 락빗 랜섬웨어가 쇠퇴의 길로 들어서는 것으로 추정되고 있다. 락빗 랜섬웨어는 2020년 처음 등장한 RaaS 랜섬웨어로 등장 이후부터 최근까지 활발한 공격 활동을 벌였다. 그런데 2022년 9월 22일, 락빗 3.0 빌더가 유출되면서 다양한 변종을 제작하는데 악용되었다.
그러나 최근 한 보안 전문가 블로그에 따르면 락빗 데이터 유출 사이트에 심각한 버그가 있으며 일부 협력사들이 이러한 버그를 눈치 채고 이미 락빗을 떠났다고 밝혔다. 락빗의 새로운 버전의 출시가 늦어지는 것도 락빗의 협력사들이 갖는 불만 중 하나이며 락빗 랜섬웨어 조직 역시 서비스에 이러한 버그가 있는 것을 인지하고 수정하고자 노력하고 있지만 어려움이 있는 것으로 추정된다고 밝혔다.
이스트시큐리티의 시큐리티대응센터(ESRC)에서 선정한 2023년 3분기 주목할 만한 랜섬웨어는 다음과 같다.
3AM
2023년 9월 등장한 랜섬웨어로 Rust 언어로 작성됨. 새로운 랜섬웨어 계열로 추정되고 있으며 락빗 랜섬웨어 유포 시도 후 실패 시 3AM 랜섬웨어가 유포됨.
아비스 락커(Abyss Locker)
2023년 3월 등장한 랜섬웨어로 Hello Kitty 랜섬웨어의 변종으로 추정됨. 다른 랜섬웨어들과 마찬가지로 기업 네트워크를 해킹하고 데이터 탈취 및 네트워크 암호화를 통한 이중 탈취 기법을 사용.
몬티(Monti)
2022년 6월 등장한 랜섬웨어. 의도적으로 콘티 랜섬웨어를 모방한 이름과 공격 기법을 사용하며 콘티의 유출된 소스코드를 사용하기도 함. 암호화 이후 파일 확장자를 .monti로 변경.
스내치(Snatch)
2021년 중반부터 활동을 시작하였으며 이메일, 메신저 등 랜섬 노트를 이용해 피해자와 컨택하는 일반적인 방식 외에 신원 미상의 스푸핑 전화를 통해 접촉한 피해 사례도 확인. 탐지 회피 목적으로 안전 모드 재부팅 후 암호화를 진행.
노이스케이프(NoEscape)
2020년에 등장하여 일년 동안 활발한 활동을 벌이던 아바돈(Avaddon) 랜섬웨어의 변종. 2023년 6월 노이스케이프(NoEscape)로 개명 후 다시 등장했으며 2023년 7-8월에 매우 활발한 활동이 포착. 국내 기업도 공격 받음.
나이트(Knight)
TripAdvisor 불만 사항인 것처럼 가장하여 Knight 랜섬웨어를 배포하는 새로운 스팸 캠페인으로 Cyclops 랜섬웨어의 리브랜딩 버전. 협상 목적의 일반 암호화 버전 외에 고정된 복호화 비용을 요구하는 대량 배포 캠페인용 Lite 버전 제공.
