이스트시큐리티 “1분기 대규모 랜섬웨어 공격 다수…알약은 4만7000건 차단”

보안 전문기업 이스트시큐리티는 올해 1분기 랜섬웨어 주요 동향을 19일 발표했다. 취약점을 이용한 대규모 랜섬웨어 공격과 다양한 복호화 툴 공개, 북한발 해킹에 대응하는 한미 사이버 보안 권고 등이 꼽혔다.

1분기에만 4만7000여건의 랜섬웨어 공격을 차단했던 이스트시큐리티는 계속되는 위협에 보다 주의를 기울여야 한다고 당부했다.

이스트시큐리티에 따르면, 올 1분기 랜섬웨어 주요 동향은 ▲브이엠웨어(VMware) ESXi 취약점을 이용한 대규모 랜섬웨어 공격 발생 ▲글로벌 백신업체, 랜섬웨어 복호화 툴 공개 ▲락빗(LockBit) 랜섬웨어 공격의 지속 ▲Nim 프로그래밍 언어로 제작된 랜섬웨어 발견 ▲북한 랜섬웨어 관련 한미 합동 사이버보안 권고 발표 등이다.

VMware ESXi는 전 세계적으로 많은 기업에서 사용중인 가상화 플랫폼으로, 해당 취약점을 이용한 대규모 랜섬웨어 공격이 발생했다. 엑시악스(ESXiArgs) 랜섬웨어는 주로 유럽 국가들을 대상으로 진행됐는데, 취약점이 패치되지 않은 ESXi 인스턴스를 공격 대상으로 삼았다.

해당 랜섬웨어는 암호화 후 파일 확장자를 ‘.args’로 바꾸면서 피해 기업에 몸값으로 약 2만 3000달러 상당의 비트코인을 요구하기도 했던 것으로 확인됐다. 또한 콘티(Conti) 랜섬웨어의 제작자가 제작된 것으로 추정되는 로얄(Royal) 랜섬웨어의 리눅스 버전도 발견됐다. 로얄 랜섬웨어 역시 ESXi를 공격 대상으로 삼고, 파일 암호화 후 확장자를 ‘.royal_u’로 변경한다.

다양한 랜섬웨어에 대한 복호화 툴도 공개됐다. 어베스트(Avast)는 지난해 7월 등장한 일부 비안리안(BianLian) 랜섬웨어에 대한 무료 복호화 툴을 공개했다. 해당 툴은 어베스트 웹사이트에서 내려받을 수 있으며 비안리안 랜섬웨어로 암호화 된 파일에서만 동작한다.

비트디펜더(Bitdefender)는 2021년 10월 메가코텍스(MegaCortex) 랜섬웨어 조직원 일부의 체포 과정에서 수집한 정보를 기반으로 메가코텍스 랜섬웨어 복호화 툴을 제작해 공개했다. 피싱메일을 통해 유포됐던 모탈컴뱃(MortalKombat) 랜섬웨어에 대한 복호화 툴도 공개했다.

락빗(LockBit) 랜섬웨어의 위협도 계속됐다. 공격자들은 여전히 입사지원서를 위장한 피싱 메일 내 락빗 랜섬웨어가 포함된 압축파일을 첨부하는 형태로 유포했다. 이스트시큐리티 관계자는 “파일명과 파일확장자 사이에 다수의 공백을 추가하고 아이콘을 문서 아이콘으로 위장해 사용자의 실행을 유도한 점이 특징”이라며 “락빗 랜섬웨어와 함께 Vidar과 같은 악성코드들도 함께 유포했다”고 설명했다.

한편, 이스트시큐리티는 올해 1분기 자사 백신 프로그램 ‘알약’으로  4만7000여건의 랜섬웨어 공격을 차단했다고 밝혔다. 통계는 개인 사용자에게 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단한 공격 만을 집계한 결과라 보다 높은 주의가 요구된다는 게 회사의 설명이다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network