이스트시큐리티 “알약으로 3분기 랜섬웨어 공격 4만1065건 차단”
보안 전문기업 이스트시큐리티는 자사 백신 프로그램 ‘알약’을 통해 올해 3분기 총 4만1065건의 랜섬웨어 공격을 차단했다고 26일 밝혔다.
이번 통계는 개인 대상 무료 공개용 알약의 ‘랜섬웨어 행위 기반 사전 차단 기능’으로 막은 공격 사례를 집계한 결과다. 4만1065건을 일간 기준으로 환산하면 일 평균 446건의 랜섬웨어 공격이 차단된 것으로 볼 수 있다.
이스트시큐리티는 3분기 랜섬웨어 주요 동향으로 ▲클롭(Clop) 랜섬웨어 조직, 무브잇(MOVEit) 취약점을 이용한 공격 지속 ▲3AM 랜섬웨어 등장 ▲VM웨어 ESXi 서버를 타깃으로 한 랜섬웨어 공격의 지속 ▲락빗(LockBit) 랜섬웨어의 쇠퇴로 선정했다.
이스트시큐리티에 따르면, 클롭 랜섬웨어 조직은 앞서 5월부터 무브잇 트랜스퍼(MOVEit Transfer) 제로데이 취약점을 악용해 데이터 탈취 공격을 진행한 이후, 무브잇 취약점을 노린 공격은 3분기까지 지속됐다. 이스트시큐리티 관계자는 “이 공격으로 인해 약 500개의 조직과 3500만명의 개인이 피해를 입은 것으로 확인됐다”며 “이를 통해 1억달러 이상의 수익을 거두었을 것으로 예상한다”고 설명했다.
다른 랜섬웨어 조직들도 새로운 공급망 취약점을 찾아 공격에 활용할 가능성이 높아질 것으로 예상되는 만큼 기업 보안담당자들은 사내에서 사용하는 소프트웨어(SW)의 버전을 항상 최신으로 유지하라는 게 이스트시큐리티의 조언이다.
3AM 랜섬웨어는 러스트(Rust) 언어로 작성됐으며 기존에 알려진 랜섬웨어 제품군과는 관련 없는 새로운 계열로 추정되고 있다. 특이한 점은, 공격자들이 락빗 랜섬웨어 배포 시도 후 실패할 경우 3AM 랜섬웨어를 배포한다는 것이다. 3AM 랜섬웨어는 파일을 암호화 하기 전 다양한 보안 제품 등 여러 서비스를 중지하려고 시도하는 것이 특징이다. 또한 암호화 완료 후에는 볼륨 섀도 복사본 삭제를 시도한다.
랜섬 행위 외에도 다양한 코발트 스트라이크(Cobalt Strike) 구성 요소를 실행하고 PsExec을 사용해 시스템 권한 상승을 시도한다. 파일 암호화 이후 확장자를 ‘.threeamtime’으로 변경해 3AM 랜섬웨어로 명명됐다. 현재 락빗 랜섬웨어 공격의 대체 수단으로 사용되었다는 점만으로도 주목할만한 가운데, 다. 향후 3AM 랜섬웨어가 독립적으로 공격을 수행하는 방향으로 진화할 지는 지켜봐야 한다는 게 이스트시큐리티의 분석이다.
기업들이 더 나은 시스템 성능을 위해 가상화 환경을 구축하는 추세 속에서 인기있는 가상머신 플랫폼인 VM웨어 ESXi를 타깃으로 하는 랜섬웨어 공격도 계속됐다. 2023년 3월에 등장한 아비스 락커(Abyss Locker)의 리눅스 버전이 VM웨어 ESXi 서버를 공격한 사실이 확인됐다.
랜섬머니를 지불하지 않을 시에는 ‘Abyss-data’라는 Tor 사이트에 데이터를 유출한다. 이스트시큐리티 분석 결과 VM웨어 ESXi 관리툴 명령어인 ‘esxcli’를 이용해 사용 가능한 가상머신들을 모두 종료하는 것으로 나타났다.
또한 몬티(Monti) 랜섬웨어는 2022년 6월 처음 발견됐으며, 의도적으로 콘티(Conti) 랜섬웨어를 모방한 이름과 공격 기법을 사용했다. 심지어 콘티의 유출된 소스코드를 사용하기도 했다. 암호화 후에는 파일 확장자를 ‘.monti’로 변경한다.
마지막으로, 이스트시큐리티는 락빗 랜섬웨어가 쇠퇴의 길로 들어서는 것으로 추정했다. 락빗 랜섬웨어는 2020년 처음 등장한 서비스형 랜섬웨어(RaaS)다. 등장 이후부터 락빗 랜섬웨어는 최근까지 활발한 공격 활동을 벌였다.
그러나 최근 한 보안전문가 블로그에 따르면, 락빗 데이터 유출 사이트에 심각한 버그가 있으며 일부 협력사들이 이러한 버그를 눈치채고 이미 락빗을 떠난 것으로 전해졌다. 락빗 랜섬웨어 조직 역시 버그를 수정하고자 노력하고 있지만 어려움이 있는 것으로 추정된다..
한편, 이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해 한국인터넷진흥원(KISA)과의 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응을 진행하고 있다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network
