보안 취약점 이용 랜섬웨어 공격 지속 증가...소프트웨어 정기 업데이트로 공격 방지 권고
[보안뉴스 이소미 기자] 보안 전문 기업 이스트시큐리티(대표 정진일)는 2024년 1분기 알약 랜섬웨어 행위기반 차단 건수가 총 79,646건이라고 발표했다.
▲2024년 1분기 알약 랜섬웨어 행위기반 차단 건수[자료=이스트시큐리티]
이스트시큐리티는 올해 1분기 주요 랜섬웨어 동향으로 △크로노스 작전(Operation Cronos)을 통한 록빗(LockBit) 랜섬웨어 조직 소탕 △취약점을 이용한 랜섬웨어 공격 지속 △한국인터넷 진흥원의 리시다(Rhysida) 랜섬웨어 복호화 툴 개발 △새로운 랜섬웨어의 지속적 등장을 선정했다.
이에 대한 자세한 내용들을 살펴보면, 2월에 국제 수사 집행기관들이 협력해 ‘크로노스 작전(Operation Cronos)’을 통해 ‘록빗(LockBit)’ 랜섬웨어 조직을 소탕했다. 해당 작전을 통해 록빗(LockBit) 소스코드를 포함한 데이터 유출 사이트와 1000개 이상의 암호 해독키 등을 압수했으며, 34개의 서버를 중단시키는 등 큰 성과를 얻었다. 이를 통해 록빗(LockBit) 랜섬웨어 조직은 큰 타격을 받고 활동이 중단되는 듯 보였다.
하지만 작전을 통해 조직이 무력화된 지 5일 만에 록빗(LockBit) 조직은 백업 데이터를 이용해 다크웹 사이트를 복구했다. 이후 이들은 다크웹 사이트를 통해 인프라와 운영적인 측면을 더 강화할 것이라고 발표했다. 록빗(LockBit) 조직이 이전과 같은 활발한 활동을 할 수 있을지의 여부는 지켜볼 필요가 있다.
아울러 많은 랜섬웨어들이 여전히 보안 취약점을 이용해 유포되고 있다. CI 소프트웨어인 팀시티(Teamcity)의 온프레미스 플랫폼에서 인증 우회와 서버 관리를 제어할 수 있는 두 가지 심각한 취약점(CVE-2024-27198 및 CVE-2024-27199)이 공개됐는데 자스민(Jasmin) 랜섬웨어 변종이 해당 취약점을 악용한 것으로 확인됐다. ‘자스민(Jasmin) 랜섬웨어’는 보안팀이 랜섬웨어 공격을 시뮬레이션하는데 사용할 수 있도록 개발된 툴이지만 악의적인 목적으로 수정돼 유포됐다.
‘아키라(Akira) 랜섬웨어’ 역시 주로 다중 요소 인증(MFA)이 없는 계정 접근을 통한 VPN 무단 접속 방식을 이용해 공격을 진행했으나, 최근에 Cisco ASA/FTD 취약점을 악용해 공격을 진행하도록 공격 전술을 바꾼 정황이 확인됐다.
‘리시다(Rhysida) 랜섬웨어’의 복호화 툴을 한국인터넷진흥원(KISA)과 국민대학교 DF&C 연구실이 공동 개발해 전 세계의 주목을 받았다. 지난해 5월 처음 발견된 ‘리시다(Rhysida) 랜섬웨어’는 주로 VPN·피싱 메일을 통해 유포되며 파일을 암호화한 후 확장자를 .rhysida로 변경한다. 미국 사이버 보안 및 인프라 보안국(CISA)과 연방수사국(FBI)은 사이버 보안 권고문을 통해 기업들에게 리시다 랜섬웨어에 대한 주의를 당부하기도 했다.
이스트시큐리티는 해당 복호화 툴은 세계 최초로 개발된 것으로 국제협력을 통해 복호화 툴로 검증 완료된 만큼 리시다 랜섬웨어의 피해자들은 해당 복호화 툴로 데이터를 복호화하는 것을 추천했다.
1분기에는 새로운 랜섬웨어도 지속적으로 등장했다. ‘포보스(Phobos) 랜섬웨어’의 다른 계열인 ‘파우스트(Faust) 랜섬웨어’가 등장했다. 파우스트 랜섬웨어는 파일리스 공격을 통해 암호화 프로세스를 시작하며 효율적인 실행을 위해 여러 스레드를 생성하는 특징이 있다.
러시아어를 사용하는 다크웹에 ‘윙(Wing)’이라는 새로운 RaaS도 등장했다. 러시아어·영어 두 가지 언어를 지원하며 암호화 모드와 멀티스레딩 및 커스터마이징 같은 다양한 기능들을 제공한다. 윙(Wing) 랜섬웨어가 새로운 위협으로 급부상할지는 두고 볼 필요가 있다.
이스트시큐리티 ESRC는 “보안 취약점을 이용한 랜섬웨어 공격이 지속되고 있다”면서, “사용자 및 기업 보안담당자들은 주요 소프트웨어의 정기적인 업데이트를 통해 보안 취약점을 악용한 랜섬웨어 공격을 효과적으로 방지할 것을 권고 드린다”고 전했다.
한편, 이스트시큐리티는 보안뉴스·시큐리티월드가 선정한 2023 Global Security TOP 100 기업이다. Global Security TOP 100은 물리보안 분야와 사이버보안 분야를 모두 포함해 2023년 한 해 동안 국내외에서 △매출 △성장 속도 △기술력 △혁신성 △지속가능성 등에서 우수한 평가를 받아 선정됐다.
[이소미 기자(boan4@boannews.com)]
[보안뉴스 이소미 기자] 보안 전문 기업 이스트시큐리티(대표 정진일)는 2024년 1분기 알약 랜섬웨어 행위기반 차단 건수가 총 79,646건이라고 발표했다.
▲2024년 1분기 알약 랜섬웨어 행위기반 차단 건수[자료=이스트시큐리티]
이스트시큐리티는 올해 1분기 주요 랜섬웨어 동향으로 △크로노스 작전(Operation Cronos)을 통한 록빗(LockBit) 랜섬웨어 조직 소탕 △취약점을 이용한 랜섬웨어 공격 지속 △한국인터넷 진흥원의 리시다(Rhysida) 랜섬웨어 복호화 툴 개발 △새로운 랜섬웨어의 지속적 등장을 선정했다.
이에 대한 자세한 내용들을 살펴보면, 2월에 국제 수사 집행기관들이 협력해 ‘크로노스 작전(Operation Cronos)’을 통해 ‘록빗(LockBit)’ 랜섬웨어 조직을 소탕했다. 해당 작전을 통해 록빗(LockBit) 소스코드를 포함한 데이터 유출 사이트와 1000개 이상의 암호 해독키 등을 압수했으며, 34개의 서버를 중단시키는 등 큰 성과를 얻었다. 이를 통해 록빗(LockBit) 랜섬웨어 조직은 큰 타격을 받고 활동이 중단되는 듯 보였다.
하지만 작전을 통해 조직이 무력화된 지 5일 만에 록빗(LockBit) 조직은 백업 데이터를 이용해 다크웹 사이트를 복구했다. 이후 이들은 다크웹 사이트를 통해 인프라와 운영적인 측면을 더 강화할 것이라고 발표했다. 록빗(LockBit) 조직이 이전과 같은 활발한 활동을 할 수 있을지의 여부는 지켜볼 필요가 있다.
아울러 많은 랜섬웨어들이 여전히 보안 취약점을 이용해 유포되고 있다. CI 소프트웨어인 팀시티(Teamcity)의 온프레미스 플랫폼에서 인증 우회와 서버 관리를 제어할 수 있는 두 가지 심각한 취약점(CVE-2024-27198 및 CVE-2024-27199)이 공개됐는데 자스민(Jasmin) 랜섬웨어 변종이 해당 취약점을 악용한 것으로 확인됐다. ‘자스민(Jasmin) 랜섬웨어’는 보안팀이 랜섬웨어 공격을 시뮬레이션하는데 사용할 수 있도록 개발된 툴이지만 악의적인 목적으로 수정돼 유포됐다.
‘아키라(Akira) 랜섬웨어’ 역시 주로 다중 요소 인증(MFA)이 없는 계정 접근을 통한 VPN 무단 접속 방식을 이용해 공격을 진행했으나, 최근에 Cisco ASA/FTD 취약점을 악용해 공격을 진행하도록 공격 전술을 바꾼 정황이 확인됐다.
‘리시다(Rhysida) 랜섬웨어’의 복호화 툴을 한국인터넷진흥원(KISA)과 국민대학교 DF&C 연구실이 공동 개발해 전 세계의 주목을 받았다. 지난해 5월 처음 발견된 ‘리시다(Rhysida) 랜섬웨어’는 주로 VPN·피싱 메일을 통해 유포되며 파일을 암호화한 후 확장자를 .rhysida로 변경한다. 미국 사이버 보안 및 인프라 보안국(CISA)과 연방수사국(FBI)은 사이버 보안 권고문을 통해 기업들에게 리시다 랜섬웨어에 대한 주의를 당부하기도 했다.
이스트시큐리티는 해당 복호화 툴은 세계 최초로 개발된 것으로 국제협력을 통해 복호화 툴로 검증 완료된 만큼 리시다 랜섬웨어의 피해자들은 해당 복호화 툴로 데이터를 복호화하는 것을 추천했다.
1분기에는 새로운 랜섬웨어도 지속적으로 등장했다. ‘포보스(Phobos) 랜섬웨어’의 다른 계열인 ‘파우스트(Faust) 랜섬웨어’가 등장했다. 파우스트 랜섬웨어는 파일리스 공격을 통해 암호화 프로세스를 시작하며 효율적인 실행을 위해 여러 스레드를 생성하는 특징이 있다.
러시아어를 사용하는 다크웹에 ‘윙(Wing)’이라는 새로운 RaaS도 등장했다. 러시아어·영어 두 가지 언어를 지원하며 암호화 모드와 멀티스레딩 및 커스터마이징 같은 다양한 기능들을 제공한다. 윙(Wing) 랜섬웨어가 새로운 위협으로 급부상할지는 두고 볼 필요가 있다.
이스트시큐리티 ESRC는 “보안 취약점을 이용한 랜섬웨어 공격이 지속되고 있다”면서, “사용자 및 기업 보안담당자들은 주요 소프트웨어의 정기적인 업데이트를 통해 보안 취약점을 악용한 랜섬웨어 공격을 효과적으로 방지할 것을 권고 드린다”고 전했다.
한편, 이스트시큐리티는 보안뉴스·시큐리티월드가 선정한 2023 Global Security TOP 100 기업이다. Global Security TOP 100은 물리보안 분야와 사이버보안 분야를 모두 포함해 2023년 한 해 동안 국내외에서 △매출 △성장 속도 △기술력 △혁신성 △지속가능성 등에서 우수한 평가를 받아 선정됐다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
