올해 상반기, 월 평균 18건 랜섬웨어 발견... 랜섬머니로 ‘비트코인’ 요구 34%

2024-07-24 17:04
  • 카카오톡
  • 네이버 블로그
  • url
신·변종 랜섬웨어, 1월과 4월에 가장 많이 발견...비트코인 요구 34% 달해
변종 Dharma 14회 및 Chaos 11회 등, 신종 Albabat, GoodMorning 등 다수
잉카인터넷 시큐리티대응센터, ‘2024년 상반기 랜섬웨어 동향 보고서’ 발표


[보안뉴스 김영명 기자] 올해 상반기를 종합해볼 때, 월 평균 18건의 랜섬웨어가 발견된 것으로 분석됐으며, 이 가운데 신종 랜섬웨어는 4월에, 변종 랜섬웨어는 1월에 가장 많이 발견됐다. 또한 랜섬웨어 협박범들은 랜섬머니로 ‘비트코인(BTC)’을 가장 많이 요구했다.


[이미지=gettyimagesbank]

잉카인터넷 시큐리티대응센터는 최근 ‘2024년 상반기 랜섬웨어 동향 보고서’를 발표했다. 올해 1월 1일부터 6월 30일까지 6개월간 분석한 결과다. 상반기에는 월 평균 18건의 랜섬웨어가 발견됐다.

2024년 상반기(1월 1일~6월 30일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고, 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다.


▲2024년 상반기 월별 신·변종 랜섬웨어 비교[자료=잉카인터넷 시큐리티대응센터]

2024년 상반기(1월 1일~6월 30일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 34%로 가장 많았고, 모네로(XMR)를 요구하거나 랜섬머니를 요구하지 않는 경우는 각각 2%와 1% 비율을 차지했다. 그 외에도 이메일, 홈페이지 및 텔레그램 등의 방법을 사용해 랜섬머니를 요구했다.


▲2024년 상반기 월별 랜섬머니 비교[자료=잉카인터넷 시큐리티대응센터]

2024년 상반기(1월 1일~6월 30일) 동안의 신·변종 랜섬웨어는 하단의 표와 같고, 신종은 붉은색, 변종은 푸른색으로 표시했다. 이외에 표시된 색상은 상반기 내 신·변종이 4건 이상인 랜섬웨어이다.

상반기의 신·변종 랜섬웨어를 살펴보면 먼저 1월에는 파일명에 ‘.abbt’ 확장자를 추가하고 ‘Albabat_README.html’과 ‘README.html’라는 랜섬노트를 생성하는 Albabat 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 관리자 실행을 차단하고 바탕화면을 변경한다. 또한 3000USDAA 랜섬웨어 변종은 ‘.[5자리 랜덤 문자열]’ 확장자를 추가하고 ‘----Read-Me----.txt’라는 랜섬노트 외에도 VBS 파일로 랜섬노트를 생성했다. 이외에도 Dharma 랜섬웨어Lockxx 랜섬웨어가 발견됐다.


▲2024년 상반기 랜섬머니 통계[자료=잉카인터넷 시큐리티대응센터]

2월에는 파일명에 ‘.EzByZZART3XX’ 확장자를 추가하고 ‘Open.txt’라는 랜섬노트를 생성하는 랩서스(LAPSUS$) 랜섬웨어, 파일명에 ‘.goodmorning’ 확장자를 추가하는 굿모닝(GoodMorning) 랜섬웨어, ‘#SWIFT-Help.txt’라는 랜섬노트를 생성하는 스위프트(SWIFT) 랜섬웨어와 함께 XznShirkiCry 랜섬웨어도 발견됐다.

3월에는 먼저 메두사라커(MedusaLocker) 랜섬웨어가 발견됐는데, 해당 랜섬웨어는 사용자 계정 컨트롤과 시스템 복원을 무력화한다. Payuransom 랜섬웨어는 ‘ReadMeForDecrypt.txt’라는 랜섬노트를 생성하며 바탕화면을 변경하고 자동 실행을 등록해 지속성을 확보한다.

파일명에 ‘.cursoDFIR’ 확장자를 추가하는 cursoDFIR 랜섬웨어는 바탕화면을 변경하고 시스템 복원을 무력화하며, ‘.id[사용자ID].[공격자 이메일].ELITTE87’ 확장자를 추가하는 다르마(Dharma) 랜섬웨어 변종은 방화벽 사용을 해제하고 시스템 복원을 무력화한다.

4월에는 카오스(Chaos) 랜섬웨어가 발견, ‘.4자리 랜덤한 문자열’ 확장자를 추가하면서 원본 샘플을 자가 삭제하고 시스템 복원을 무력화했다. CrocodileSmile 랜섬웨어는 ‘.CrocodileSmile’ 확장자를 추가하며, 작업 관리자 실행을 차단하고 시스템 복원을 무력화한다. ‘.LethalLock’ 확장자를 추가하는 LethalLock 랜섬웨어는 바탕화면을 변경하고 원본 샘플을 자가 삭제한다. ‘.[공격자].Duckcryptor’ 확장자를 추가하는 Duckcryptor 랜섬웨어는 작업 스케줄러를 등록해 지속성을 확보하고 시스템 복원을 무력화한다.


▲2024년 상반기 월별 신·변종 랜섬웨어[자료=잉카인터넷 시큐리티대응센터]

5월에는 먼저 Proton 랜섬웨어 변종이 발견됐는데, 파일명에 ‘.[공격자 이메일].Ripa’ 확장자를 추가하면서 바탕화면을 변경하고 휴지통을 임의로 비운다. 파일명에 ‘.Xam’ 확장자를 추가하고 ‘unlock.txt’라는 랜섬노트를 생성하는 Xam 랜섬웨어는 자동 실행을 등록해 지속성을 확보하고 시스템 복원을 무력화한다.

Capibara 랜섬웨어는 ‘READ_ME_USER.txt’라는 랜섬노트를 생성하며 바탕화면을 변경하고 원본 샘플을 자가 삭제한다. ‘HOW TO RECOVER YOUR FILES.txt’라는 랜섬노트를 생성하는 EDHST 랜섬웨어는 파일을 암호화하고 시스템 복원을 무력화한다. 파일명에 ‘.ZoN’ 확장자를 추가하는 Xorist 랜섬웨어 변종은 아이콘을 변경하고 자동 실행을 등록해 지속성을 확보한다.

6월에는 Chaddad 랜섬웨어가 특정 프로세스를 종료하고 윈도를 재부팅했으며, 파일명에 ‘.run10’ 확장자를 추가하는 MedusaLocker 랜섬웨어 변종은 휴지통을 비우고 디스크를 생성했다. 이어 파일명에 ‘.rapax’ 확장자를 추가하고 ‘instruction.txt’라는 랜섬노트를 생성하는 Rapax 랜섬웨어는 시스템 복원을 무력화하고 바탕화면을 변경했다. 마지막으로 ‘read_mt.txt’라는 랜섬노트를 생성하는 Chaos 랜섬웨어 변종은 시스템 복원을 무력화하고 자동 실행을 등록해 지속성을 확보하고 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기