2024년 2분기 KARA 랜섬웨어 동향 보고서에 따르면, 2분기 랜섬웨어 감염 피해 사례 수는 1,321건으로 작년 동기 대비 약 3%, 그리고 이번 1분기 대비 18% 증가했습니다. 가장 많은 피해를 받은 곳은 어떤 곳이고, 피해 사례가 증가한 이유는 무엇일까요?
업종별 침해사고 발생 통계를 살펴보면 제조업을 대상으로 가장 많은 공격이 발생했는데요. 제조업은 생산 시스템 중단 시 큰 피해를 입는다는 특징이 있고, 랜섬웨어공격자들은 이를 악용해 몸값을 탈취하고 있기 때문입니다. 또한, 본사뿐만아니라 보안이 취약한 자회사나 협력업체를 통해 랜섬웨어를 배포하는 경우가 많기 때문에 감염에 취약한 것으로 분석됐습니다.
이에 국제 수사기관들이 협력하여 Cronos 작전*, Endgame 작전* 등을 통해 랜섬웨어 공격자를 체포하거나 인프라를 무력화시키고있는데요. 그럼에도 랜섬웨어 전략이 다변화되면서 피해 사례는 좀처럼 줄어들지 않고 있습니다.
* Cronos 작전: LockBit의 공격서버, 다크웹 유출 사이트 등 범죄 인프라를 파괴하기 위한 국제 수사기관의 공조 작전
* Endgame 작전: 랜섬웨어를 배포하는데 사용되는 로더나 드로퍼 악성코드 인프라를 파괴하기 위한 국제 수사기관의 공조 작전
이어서 랜섬웨어 그룹 활동 통계를 살펴보면 LockBit 그룹이 1위로 가장 많은 활동량을 보였고, Play와 RansomHub 그룹이 그 뒤를 이었습니다. LockBit 그룹은 Cronos 작전 이후 불안정한 모습을 보였지만 데이터를 꾸준히 유출하며 그룹의 건재함을 과시하기도 했습니다. Play 그룹은 ESXi* 버전을 출시했는데요. 기업의 ESXi 환경이 암호화되면 서비스 운영에 큰 차질을 빚을수 있습니다. 올해 2월에 발견된 RansomHub는 Knight 랜섬웨어가 리브랜딩 된 그룹으로, Scattered Spider 해킹 그룹이 이 랜섬웨어를 공격에 사용하는 등 파급력 있는 그룹으로 자리 잡았습니다.
* ESXi: 기업에서 비용 절감을 위해 하나의 물리적서버로 여러 가상 머신을 실행해 어플리케이션과 백업 솔루션을 호스팅 하는데 주로 사용하는 환경
최근 랜섬웨어는 생성형 AI 악용, BitLocker 악용, 취약점 악용 등과 같은 다양한 전략, 그리고 타깃 플랫폼의 확장을 통해 더욱 교묘한 수법으로 우리를 잠식하고 있습니다. 그럼, 최근 랜섬웨어 트렌드에 대해 더욱 자세히 알아볼까요?
1️⃣ 국내, 제조업에서 가장 많은 피해 발생
2분기 국내 랜섬웨어 피해 사례 수는 10건입니다. 이는 지난 분기 대비 9건 증가한 수치인데요. 특히 제조업에서 가장 많은 피해 사례가 발생했으며, IntelBroker가 가장 많은 공격을 수행한 것으로 밝혀졌습니다.
IntelBroker는 국내 공공 기관 두 곳의 데이터베이스와 잡화 판매 업체의 데이터베이스를 유출시켰는데요. 이중공공 기관 한 곳의 유출 데이터베이스를 공개한 것에 대해서는 해당 기관의 관계자가 가짜 데이터를 게시한 것이라고 밝혔습니다. 그러나, 서버에서 직접 추출한 데이터라는 점과 IntelBroker가 해킹 포럼에서 평판이 좋은 공격자임을 감안했을 때 실제로 취득한 데이터일 확률도 존재하는상황입니다.
이외에도 유명 해킹 포럼인 BreachForums의 한 유저가 국내 식품 제조 업체의 23년 7월 데이터를 탈취했다고주장하기도 했습니다. 해당 유저는 연락처가 포함된 정보 유출했다고 주장했고, 이에 2차 피해가 우려되는 상황입니다.
2️⃣ Cronos 작전에이은 Endgame 대작전
최근 국제 수사기관들이 협력하여 주요 랜섬웨어 공격자를 색출하고 있는데요. 지난 2월, 악명 높은랜섬웨어 그룹인 LockBit의 인프라를 무력화시키는 Cronos 작전이감행됐습니다. 완전히 무력화시키지는 못했지만, 활발히 활동하던과거와는 다른 양상을 보이고 있어 상당한 타격을 받은 것으로 확인됩니다.
지난 5월에는Endgame 작전으로 랜섬웨어 생태계에 큰 타격을 주기도 했는데요. 랜섬웨어를 배포하는로더와 드로퍼를 무력화시키는 이 작전으로 100개가 넘는 랜섬웨어 서버가 다운되었습니다. 핵심 인물들을 체포하고, 신원을 확보하기까지 했죠.
3️⃣ 취약점을 악용하는랜섬웨어 그룹
국제 수사기관이 작전을 벌이는 한편, 랜섬웨어 그룹들은다양한 취약점을 악용해 침투 공격을 감행하고 있습니다. 최근 성장세를 보이는 RansomHub 그룹은 컴퓨터의 관리자 권한을 획득할 수 있는 취약점인 CVE-2020-1472(ZeroLogon)을악용해 랜섬웨어 공격을 수행했습니다. RansomHub 그룹에 대해서는 다음 포스팅에서 더욱 자세히 다루겠습니다.
최근 공격자들의 치밀한 전략과 고도화된탐지 회피 기법으로 인해 기존의 방어 체계만으로는 랜섬웨어의 위협에서 벗어나기는 어려워졌는데요. SK쉴더스는고도화되는 랜섬웨어 공격을 체계적으로 분석하고 대응하는 랜섬웨어 대응 서비스를 운영하고 있습니다.
SK쉴더스 랜섬웨어 대응센터 1600-7028
또한, SK쉴더스의 주도 아래 트렌드마이크로, 지니언스, 맨디언트, 베리타스, 캐롯손해보험, 법무법인화우 등 총 7개 기업으로 구성된 민간 랜섬웨어 대응 협의체인 KARA(KoreanAnti Ransomware Alliance, 카라)는 랜섬웨어 예방, 사고 접수, 복구까지의 전 과정을 원스톱으로 대응하고 있습니다. 더불어 랜섬웨어 최신 트렌드, 피해 실태를 담은 랜섬웨어 동향 보고서를 발간하여 랜섬웨어 예방을 돕고 있습니다.
2024 2분기 KARA 랜섬웨어 동향 보고서 전문이 궁금하다면?
[콘텐츠 내용 출처]
- KARA, 2024년 2분기 KARA 랜섬웨어 동향 보고서
- SK쉴더스, 2024년2분기 ‘KARA 랜섬웨어 동향 보고서’ 공개… 2분기 랜섬웨어 공격 18% 증가