이스트시큐리티가 2024년 2분기 '알약'의 랜섬웨어 행위 기반 사전 차단 기능을 통해 총 7만1416건의 랜섬웨어 공격을 차단했다고 발표했다. 하루 평균 793건의 랜섬웨어 공격을 차단한 셈이다.

주요 랜섬웨어 동향으로 △우후죽순 등장한 서비스형랜섬웨어(RaaS) 서비스 △정크건(Junk Gun) 등장 △랜섬웨어 공격 지속 △ESXi 타깃 랜섬웨어 공격 패턴 공개를 꼽았다.

우선 세계적으로 악명을 떨친 락빗(LockBit) 랜섬웨어 조직과 블랙캣(Black Cat) 랜섬웨어 조직이 국제 사법기관의 공조, 파트너사 신뢰를 저버리는 행위 등 이유로 영향력이 크게 떨어졌다. 이 틈을 타 랜섬허브(RansomHub), 킬섹(KillSec), 캐시(Cash) 랜섬웨어, 엘도라도(Eldorado) 등 다양한 RaaS가 등장했다.

새로 등장한 RaaS 서비스 중 랜섬허브 RaaS는 고(Go)언어와 C++언어로 제작된 멀티플랫폼(윈도, 리눅스, ESXi) 서비스다. 랜섬허브 RaaS는 파트너사에 많은 제휴사 유치를 위해 높은 커미션을 제시하는 것으로 보인다. 실제 매우 빠른 속도로 성장하고 있으며 일각에선 코드 및 난독화 기술 등 유사성을 언급하며 랜섬허브가 나이트(Knight) 랜섬웨어의 리브랜딩 버전이라는 의견도 있다.

해커그룹 킬섹은 '킬섹 RaaS'를 선보였다. 이 서비스는 토르 네트워크를 사용하며 통계, 채팅, 빌드 기능 등 사용자들을 위해 다양한 편의성을 제공한다고 알리고 있다. 또 향후엔 디도스, 통화기능, 정보탈취 기능 등도 업데이트할 예정이다.

보안업체 소포스는 가격이 저렴하고 낮은 수준의 '정크건' 랜섬웨어에 대해 공개했다. 아 랜섬웨어는 기존 파트너 기반의 구독형 RaaS완 다르게 독자적으로 운영되며 저렴한 가격이 특징이다. 정교함과 기술력이 뒤떨어지지만 평균 가격이 400달러로, 공격에 성공하면 얻은 수익의 전부를 가져간다는 점에서 많은 초보 해커가 찾고 있다.

사용자가 가짜 소프트웨어(SW)를 내려받도록 유도하는 캠페인도 발견됐다. 공격자는 검색엔진에서 특정 소프트웨어를 검색할 때 정상 퍼티(Putty)와 윈(Win)SCP 프로그램 다운로드 페이지처럼 위장한 광고 페이지를 띄워 사용자가 가짜 SW를 내려받도록 유도한다.

이 설치 패키지 내부엔 정상 'exe' 파일과 함께 악성 '파이톤(python)311.dll'이 포함돼 있다. 사용자가 셋업 파일 실행 시 DLL 사이드로딩(DLL Sideloading)을 통해 악성 dll이 실행되고 최종적으로 랜섬웨어 배포를 시도한다.

VM웨어 ESXi 시스템을 타깃으로 하는 랜섬웨어 공격이 지속되고 있어 보안전문가들이 관련 공격 패턴에 대해서도 예의주시하고 있다.

이스트시큐리티 ESRC는 “보안 취약점을 이용한 랜섬웨어 공격이 끊임없이 발생하고 있다”며 “주요 SW 정기적인 업데이트를 통해 보안 취약점을 악용한 랜섬웨어 공격을 사전에 최대한 방지할 것”이라고 당부했다.

조재학 기자 [email protected]