이스트시큐리티 “2분기 랜섬웨어 공격 4만3645건 차단…변종 주의해야”

보안 전문기업 이스트시큐리티는 올해 2분기 자사 백신 프로그램 ‘알약’에 탑재한 랜섬웨어 행위기반 사전 차단 기능을 통해 총 4만3645건의 랜섬웨어 공격을 차단했다고 5일 밝혔다.

이스트시큐리티는 2분기 랜섬웨어 주요 동향으로 ▲바북(babuk) 소스코드를 이용한 랜섬웨어 변종의 대거 등장 ▲암호화 속도가 가장 빠른 로르샤흐(Rorschach) 랜섬웨어 등장 ▲윈도우, 리눅스 및 맥OS를 모두 감염시킬 수 있는 새로운 랜섬웨어 ▲공격 방식의 지속적 진화 ▲중소기업만 노리는 에잇베이스(8base) 랜섬웨어의 활동 급증을 선정했다.

바북록커 랜섬웨어는 2021년 1월 처음 등장한 기업용 랜섬웨어다. 피해자에 따라 고유 확장자, 랜섬노트, Tor URL등을 달리 했을 뿐만 아니라 이중 갈취 전략을 통해 2021년 6월 말에는 바북록커 빌더가 온라인에 유출됐고, 2022년 하반기와 올해 상반기에 걸쳐 바북록커 소스코드를 이용한 랜섬웨어 변종들이 대거 발견됐다. 2023년 4월에 처음 발견된 RA Group 랜섬웨어 역시 바북록커의 유출된 코드를 활용해 제작됐다.

가장 암호화 속도가 빠른 것으로 알려졌던 록빗 3.0 랜섬웨어보다 약 2배 더 빠른 로르샤흐(Rorschach)라는 새로운 랜섬웨어도 주의해야 한다. 지난 4월 처음 모습을 드러낸 이 랜섬웨어 또한 역시 바북 코드를 활용한 변종이다.

로르샤흐 랜섬웨어는 상용 보안 소프트웨어(SW)의 서명된 구성 요소를 사용해 유포됐다. 윈도우 도메인 컨트롤러(DC)에서 실행될 때 자동으로 그룹 정책을 생성해 네트워크를 통해 빠르게 전파되며 “syscall” 명령으로 직접 시스템 호출을 수행한다. 이스트시큐리티 관계자는 “다만 이중 갈취를 위해 데이터를 유출하지는 않은 것으로 확인됐다”고 밝혔다.

새로 발견된 사이클롭스(Cyclops) 공격 그룹은 서비스형랜섬웨어 형태를 통해 윈도우, 리눅스 및 맥OS를 모두 감염시킨다. 맥과 리눅스 버전의 사이클롭스 랜섬웨어는 Go언어로 작성돼 있으며, 비대칭 암호화 및 대칭 암호화가 섞인 복잡한 암호 알고리즘을 사용한다. 뿐만 아니라 다양한 민감 데이터를 탈취하기 위해 Go 기반의 인포스틸러도 제공하는 것으로 밝혀졌다.

이밖에 올해 3월 처음 등장한 에잇베이스 랜섬웨어는 중소기업들을 공격 대상으로 삼으며 6월부터 본격적으로 활동했다. 이미 80개가 넘는 조직이 해당 랜섬웨어에 공격 당했다는 게 이스트시큐리티의 설명이다.

이스트시큐리티 관계자는 “랜섬웨어로 인한 사용자 피해를 미연에 방지하기 위해 한국인터넷진흥원과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있다”고 밝혔다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network