변종 Dharma 14회 및 Chaos 11회 등, 신종 Albabat, GoodMorning 등 다수
잉카인터넷 시큐리티대응센터, ‘2024년 상반기 랜섬웨어 동향 보고서’ 발표
[보안뉴스 김영명 기자] 올해 상반기를 종합해볼 때, 월 평균 18건의 랜섬웨어가 발견된 것으로 분석됐으며, 이 가운데 신종 랜섬웨어는 4월에, 변종 랜섬웨어는 1월에 가장 많이 발견됐다. 또한 랜섬웨어 협박범들은 랜섬머니로 ‘비트코인(BTC)’을 가장 많이 요구했다.
[이미지=gettyimagesbank]
잉카인터넷 시큐리티대응센터는 최근 ‘2024년 상반기 랜섬웨어 동향 보고서’를 발표했다. 올해 1월 1일부터 6월 30일까지 6개월간 분석한 결과다. 상반기에는 월 평균 18건의 랜섬웨어가 발견됐다.
2024년 상반기(1월 1일~6월 30일) 동안 월별로 랜섬웨어가 요구한 랜섬머니를 조사했을 때 주로 비트코인(BTC) 요구가 많았고, 모네로(XMR)나 랜섬머니를 요구하지 않는 경우는 매월 낮은 비율을 차지했다.
▲2024년 상반기 월별 신·변종 랜섬웨어 비교[자료=잉카인터넷 시큐리티대응센터]
2024년 상반기(1월 1일~6월 30일) 동안 랜섬웨어가 요구한 랜섬머니를 조사했을 때 비트코인(BTC) 요구가 34%로 가장 많았고, 모네로(XMR)를 요구하거나 랜섬머니를 요구하지 않는 경우는 각각 2%와 1% 비율을 차지했다. 그 외에도 이메일, 홈페이지 및 텔레그램 등의 방법을 사용해 랜섬머니를 요구했다.
▲2024년 상반기 월별 랜섬머니 비교[자료=잉카인터넷 시큐리티대응센터]
2024년 상반기(1월 1일~6월 30일) 동안의 신·변종 랜섬웨어는 하단의 표와 같고, 신종은 붉은색, 변종은 푸른색으로 표시했다. 이외에 표시된 색상은 상반기 내 신·변종이 4건 이상인 랜섬웨어이다.
상반기의 신·변종 랜섬웨어를 살펴보면 먼저 1월에는 파일명에 ‘.abbt’ 확장자를 추가하고 ‘Albabat_README.html’과 ‘README.html’라는 랜섬노트를 생성하는 Albabat 랜섬웨어가 발견됐다. 해당 랜섬웨어는 작업 관리자 실행을 차단하고 바탕화면을 변경한다. 또한 3000USDAA 랜섬웨어 변종은 ‘.[5자리 랜덤 문자열]’ 확장자를 추가하고 ‘----Read-Me----.txt’라는 랜섬노트 외에도 VBS 파일로 랜섬노트를 생성했다. 이외에도 Dharma 랜섬웨어와 Lockxx 랜섬웨어가 발견됐다.
▲2024년 상반기 랜섬머니 통계[자료=잉카인터넷 시큐리티대응센터]
2월에는 파일명에 ‘.EzByZZART3XX’ 확장자를 추가하고 ‘Open.txt’라는 랜섬노트를 생성하는 랩서스(LAPSUS$) 랜섬웨어, 파일명에 ‘.goodmorning’ 확장자를 추가하는 굿모닝(GoodMorning) 랜섬웨어, ‘#SWIFT-Help.txt’라는 랜섬노트를 생성하는 스위프트(SWIFT) 랜섬웨어와 함께 XznShirkiCry 랜섬웨어도 발견됐다.
3월에는 먼저 메두사라커(MedusaLocker) 랜섬웨어가 발견됐는데, 해당 랜섬웨어는 사용자 계정 컨트롤과 시스템 복원을 무력화한다. Payuransom 랜섬웨어는 ‘ReadMeForDecrypt.txt’라는 랜섬노트를 생성하며 바탕화면을 변경하고 자동 실행을 등록해 지속성을 확보한다.
파일명에 ‘.cursoDFIR’ 확장자를 추가하는 cursoDFIR 랜섬웨어는 바탕화면을 변경하고 시스템 복원을 무력화하며, ‘.id[사용자ID].[공격자 이메일].ELITTE87’ 확장자를 추가하는 다르마(Dharma) 랜섬웨어 변종은 방화벽 사용을 해제하고 시스템 복원을 무력화한다.
4월에는 카오스(Chaos) 랜섬웨어가 발견, ‘.4자리 랜덤한 문자열’ 확장자를 추가하면서 원본 샘플을 자가 삭제하고 시스템 복원을 무력화했다. CrocodileSmile 랜섬웨어는 ‘.CrocodileSmile’ 확장자를 추가하며, 작업 관리자 실행을 차단하고 시스템 복원을 무력화한다. ‘.LethalLock’ 확장자를 추가하는 LethalLock 랜섬웨어는 바탕화면을 변경하고 원본 샘플을 자가 삭제한다. ‘.[공격자].Duckcryptor’ 확장자를 추가하는 Duckcryptor 랜섬웨어는 작업 스케줄러를 등록해 지속성을 확보하고 시스템 복원을 무력화한다.
▲2024년 상반기 월별 신·변종 랜섬웨어[자료=잉카인터넷 시큐리티대응센터]
5월에는 먼저 Proton 랜섬웨어 변종이 발견됐는데, 파일명에 ‘.[공격자 이메일].Ripa’ 확장자를 추가하면서 바탕화면을 변경하고 휴지통을 임의로 비운다. 파일명에 ‘.Xam’ 확장자를 추가하고 ‘unlock.txt’라는 랜섬노트를 생성하는 Xam 랜섬웨어는 자동 실행을 등록해 지속성을 확보하고 시스템 복원을 무력화한다.
Capibara 랜섬웨어는 ‘READ_ME_USER.txt’라는 랜섬노트를 생성하며 바탕화면을 변경하고 원본 샘플을 자가 삭제한다. ‘HOW TO RECOVER YOUR FILES.txt’라는 랜섬노트를 생성하는 EDHST 랜섬웨어는 파일을 암호화하고 시스템 복원을 무력화한다. 파일명에 ‘.ZoN’ 확장자를 추가하는 Xorist 랜섬웨어 변종은 아이콘을 변경하고 자동 실행을 등록해 지속성을 확보한다.
6월에는 Chaddad 랜섬웨어가 특정 프로세스를 종료하고 윈도를 재부팅했으며, 파일명에 ‘.run10’ 확장자를 추가하는 MedusaLocker 랜섬웨어 변종은 휴지통을 비우고 디스크를 생성했다. 이어 파일명에 ‘.rapax’ 확장자를 추가하고 ‘instruction.txt’라는 랜섬노트를 생성하는 Rapax 랜섬웨어는 시스템 복원을 무력화하고 바탕화면을 변경했다. 마지막으로 ‘read_mt.txt’라는 랜섬노트를 생성하는 Chaos 랜섬웨어 변종은 시스템 복원을 무력화하고 자동 실행을 등록해 지속성을 확보하고 있다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>