이미지 확대보기이스트시큐리티가 2025년1분기 알약 랜섬웨어 차단통계를 발표했다. 사진=이스트시큐리티
이스트시큐리티는 2025년 1분기 동안 '알약'을 통해 총 6만3909건의 랜섬웨어 공격을 차단했다고 14일 발표했다. 이는 하루 평균 약 694건의 공격이 차단된 셈이다. 또한, 랜섬웨어 동향으로 △랜섬허브(RansomHub)의 맞춤형 백도어 베트루거(Betruger) 사용 △신규 RaaS 조직 등장 △CISA, FBI, MS-ISAC의 고스트(Ghost) 랜섬웨어 공동 권고 △취약점을 악용한 초기 침투 지속 △1분기 새 랜섬웨어 소개 등을 주요 내용으로 발표했다.
◇ 랜섬허브와 배트루거 백도어
랜섬허브는 2024년 2월 등장 이후 빠르게 성장하며, 맞춤형 백도어 베트루거를 사용해 랜섬웨어 공격을 수행하고 있다. 베트루거는 스크린샷 캡처, 키로깅 등 다양한 기능을 포함하며, 기존 랜섬웨어에서 보기 드문 방식으로 우려를 낳고 있다.
◇ 신규 RaaS 조직
모피어스(Morpheus)는 고부가가치 대상에 집중하며 윈도 암호화 API를 활용해 파일 확장자를 변경하지 않는 독특한 방식으로 공격한다. 애너부시(Anubis)는 다양한 플랫폼을 지원하며 고급 암호화 알고리즘과 권한 상승 기술을 갖췄다. 반헬싱(VanHelsing)은 등장 직후 빠르게 피해 사례를 기록하며 CIS 회원국 공격을 금지하는 정책을 채택해 러시아 기반 조직 가능성이 제기되고 있다.
◇ 고스트(Ghost) 랜섬웨어 공동 권고
CISA, FBI 등은 중국 연계로 추정되는 고스트 랜섬웨어에 대한 공동 권고문을 발표했다. 이 랜섬웨어는 공개된 취약점을 악용해 지속적으로 공격을 이어가며, 기관들은 취약점 패치와 MFA 구현 등을 권고했다.
◇ 취약점 악용 및 BYOVD 사례
Mora_001 해커 그룹은 포티넷 방화벽 취약점을 활용해 슈퍼블랙 랜섬웨어를 유포하고 있으며, BioNTdrv.sys 드라이버 취약점을 이용한 BYOVD 기법도 발견됐다. 해당 취약점은 SYSTEM 권한 상승과 DoS 공격이 가능해 보안 업데이트가 시급하다.
◇ 기타 신규 랜섬웨어
Babuk2는 기존 데이터를 재활용하며 피해자 데이터를 공개했고, LucKY_Gh0$t는 Chaos 기반으로 로컬 네트워크 확산을 시도한다. 코드핑거(CodeFinger)는 아마존(Amazon) S3 사용자 데이터를 암호화하고 삭제 일정을 설정해 압박하는 방식으로 피해를 유발한다.
이스트시큐리티 관계자는 "알려진 취약점을 이용한 공격이 지속되고 있다"며 사내 인프라 점검과 데이터 백업의 중요성을 강조했다.
이미지 확대보기
;)
;)
