알약, 2019년 2분기 랜섬웨어 25만여건 차단… 갠드크랩 랜섬웨어 여전히 활개
2019-07-11 13:50
알약, 2분기 총 24만7727건, 일평균 2723건 공격 차단
2분기 국내에 가장 많이 유포된 랜섬웨어는 갠드크랩(GandCrab) 랜섬웨어… 5월부터 유포 급감
2분기 국내에 가장 많이 유포된 랜섬웨어는 갠드크랩(GandCrab) 랜섬웨어… 5월부터 유포 급감
이스트시큐리티가 2019년 2분기 자사 보안 소프트웨어 알약을 통해 총 24만7727건의 랜섬웨어 공격을 차단했다고 11일 밝혔다.
통계에 따르면 2019년 2분기에 알약을 통해 차단된 랜섬웨어 공격수는 총 24만7727건으로, 일평균 2723건의 랜섬웨어 공격을 차단했다.
이번 통계는 일반 사용자를 대상으로 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지까지 포함하면 실제 공격은 더 많을 것으로 분석된다.
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 이번 2분기 랜섬웨어 주요 동향으로, 2018년 1월 처음으로 등장해 2019년 1분기까지 꾸준히 강화가 이뤄졌던 갠드크랩(GandCrab) 랜섬웨어의 운영이 6월 초 중단된 것을 꼽았다.
실제로 ESRC의 모니터링 결과 갠드크랩 랜섬웨어 제작자들이 블랙마켓에 운영 중단을 선언한 이후 무료 복호화툴이 공개되었고, 알약에서 해당 랜섬웨어를 탐지 및 차단한 통계 수치도 5월과 6월사이 현저히 줄어든 것으로 나타났다.
다만 이 같은 갠드크랩 랜섬웨어 공격 감소를 대체해, 지난 4월 말 등장한 소디노키비(Sodinokibi) 랜섬웨어 공격이 급증하고 있다.
ESRC 센터장 문종현 이사는 “소디노키비 랜섬웨어가 공격방식, 코드 유사점, 활용하는 서브도메인, 감염제외대상 언어팩, 연결되는 유포 시기 등 여러가지 면에서 기존 갠드크랩 랜섬웨어와 유사한 형태를 띠고 있다”며, “이러한 점으로 미루어보아 소디노키비 랜섬웨어는 갠드크랩 랜섬웨어와 동일한 공격 그룹이 운영하는 것으로 판단된다”고 말했다.
한편 알약을 통해 수집한 2019년 2분기 랜섬웨어 차단 통계를 살펴보면, 랜섬웨어 차단 수치는 지난 2019년 1분기와 대비해 약 22% 대폭 감소한 것으로 나타났다.
랜섬웨어 공격이 대폭 감소한 주요 원인으로는 5월부터 유포가 급격히 줄어든 갠드크랩 랜섬웨어 영향으로 판단된다. 이 밖에 암호화폐 채굴(이하 마이너) 악성코드가 주로 채굴을 시도하는 모네로(XMR) 암호 화폐의 시세 상승에 따른, 마이너 악성코드 증가도 랜섬웨어 공격 감소 원인으로 분석된다.
2019년 2분기에 새로 발견되었거나 주목할 만한 랜섬웨어는 다음과 같다.
▲vxCrypter
.NET 기반의 랜섬웨어로, vxLock라는 오래된 랜섬웨어를 기반으로 만들어졌다. 암호화된 각 파일의 SHA256 해시를 추적하여 같은 SHA256 해시가 발견되면 파일을 삭제하는 특징을 가진 랜섬웨어다.
▲RobbinHood
네트워크 전체를 공격 타깃으로 하며, 암호화를 해제하는 조건으로 비트코인을 요구한다. 피해자의 프라이버시를 보호해준다고 주장하면서, 랜섬머니를 지불한 피해자를 공개하지 않을 것이라는 내용을 강조하는 것이 특징이다. 공격자에게 메시지를 보내거나 10MB 이하의 파일 3개를 무료로 복호화 해주는 TOR 사이트 링크가 랜섬노트에 포함되어 있다.
▲Dharma
ESET의 AV Remover를 사용해 주의를 끌어, 백그라운드에서 하드웨어 파일을 암호화하는 변종 Drama 랜섬웨어다. 스팸 메일을 통해 타깃 컴퓨터로 전달되며, Dharma 드로퍼 바이너리를 포함한 Defender.exe을 유포한다.
▲Shade
악성 스팸 이메일을 통해 배포되며, 아카이브 파일로 연결되는 링크 또는 파일을 첨부하고 있거나, 인보이스로 위장한 PDF 파일을 첨부한다. 이러한 링크와 첨부파일은 랜섬웨어 실행 파일을 다운로드하는 자바스크립트 또는 기타 스크립트 기반 파일로 연결된다.
▲Sodinokibi
2019년 4월말 새롭게 발견된 랜섬웨어로 초기 오라클 웹로직 서버(WebLogic Server)의 제로데이 취약점을 통해 유포되었으며, 파일을 암호화할 뿐만 아니라 백업 파일도 삭제한다. 감염된 PC의 바탕화면을 파란색 화면으로 변경하는 것이 특징이다. 현재는 이메일 첨부파일로 주로 유포되며, GandCrab을 유포했던 조직과 같은 공격조직이 유포하는 악성코드로 추정된다.
▲MegaCortex
영화 매트릭스 테마를 이용한 랜섬웨어로, 감염되면 사용자 PC 화면에 매트릭스의 모피어스 캐릭터를 연상시키는 랜섬노트가 나타난다. 손상된 도메인 컨트롤러에서 리버스 쉘을 생성하기 위한 Cobolt Strike를 배포하고, 원격으로 도메인 컨트롤러에 접근하여 PsExec 복사본, 악성코드 실행 파일 및 배치 파일 등을 감염된 네트워크의 모든 컴퓨터에 배포하도록 구성된 랜섬웨어다.
문 이사는 “새롭게 발견된 소디노키비 랜섬웨어나 1분기부터 기업을 타깃으로 중앙 전산 자원관리(AD) 서버를 노리고 있는 클롭(Clop) 랜섬웨어 등 이메일 첨부파일을 통한 공격이 지속되고 있다”며, “이 공격들은 주로 국가기관, 금융회사, 기업보안담당자 메일로 위장해 첨부파일을 열어보도록 유도하고 있으며, 첨부파일을 실행하면 랜섬웨어 감염에 따른 중요 문서 암호화는 물론 기업 내부 네트워크 정보와 시스템 정보가 외부로 유출될 수 있다”고 주의를 당부했다.