이스트시큐리티, 2024년 3분기 총 69,582건 랜섬웨어 차단
ESXi, 랜섬웨어 공격자들의 주요 공격 타깃 부상, 리눅스 시스템 타깃 랜섬웨어 증가
랜섬웨어 조직 공격 전술 변화, 새로 등장한 RaaS 기승
[보안뉴스 김경애 기자] 올해 3분기 랜섬웨어가 기승을 부린 것으로 나타났다. 주요 이슈로는 △ESXi, 랜섬웨어 공격자들의 주요 공격 타깃이 부상했고, △리눅스 시스템을 타깃으로 한 랜섬웨어가 증가했다. 또한 △랜섬웨어 조직의 공격 전술이 변화했고, △3분기에 새로 등장한 RaaS도 이슈가 됐다.
▲2024년 3분기 알약 랜섬웨어 행위기반 차단 통계[자료=이스트시큐리티]
이스트시큐리티(대표 정진일)에 따르면 2024년 3분기 ‘알약’의 랜섬웨어 행위기반 사전 차단 기능을 통해 총 69,582건의 랜섬웨어 공격을 차단했다고 발표했다. 하루 평균 755건이다.
3분기 주요 이슈 : ①ESXi
ESXi는 VMware의 하이퍼바이저로, ESXi 서버를 장악하면 해당 서버에서 동작하는 다양한 가상머신에 영향을 미칠 수 있어 랜섬웨어 공격자들의 주요 공격 대상으로 손꼽히고 있다.
6월 ESXi에서 인증 우회 취약점(CVE-2024-37085)이 발견된 이후, 아키라(Akira)와 블랙바스타(BlackBasta), 블랙바이트(Black Byte) 등 다수의 해킹 그룹이 공격에 해당 취약점을 적극적으로 악용했다.
이스트시큐리티는 “최근 발견된 Play 랜섬웨어의 변종 역시 VMware ESXi 환경을 대상으로 공격하도록 설계된 것으로 확인됐다”며 “VMware ESXi를 타깃으로 하는 랜섬웨어의 공격은 지속되고 더욱 거세질 것으로 예상된다”고 예측했다.
3분기 주요 이슈 : ②리눅스 시스템 타깃 랜섬웨어 증가
윈도우보다 상대적으로 안전하다고 간주된 리눅스 서버를 공격하는 랜섬웨어도 증가하고 있다.
Mallox 랜섬웨어 변종이 발견됐다. 이는 윈도우 시스템만을 공격 대상으로 한 기존과 다른 리눅스 시스템을 공격할 수 있도록 업데이트 된 것이다. 또한 크립티나(Kryptina) 코드를 기반으로 하는 새로운 맬록스(Mallox) 랜섬웨어 변종도 추가로 발견됐다. 이 새로운 변종은 크립티나(Kryptina)라는 랜섬웨어의 유출된 코드를 기반으로 하고 있으며, 리눅스 시스템 공격을 위해 설계됐다.
크립티나는 2023년 말 리눅스 시스템을 대상으로 하는 저비용 서비스형 랜섬웨어(RaaS)로 출시됐지만 많은 주목을 받지는 못했다. 하지만 2024년 2월 해킹 포럼에 소스코드가 유출됨에 따라 공격자들이 유출된 크립티나의 소스코드를 활용해 Mallox 랜섬웨어 변종을 제작했다. 이렇게 제작된 변종이 ‘Mallox Linux 1.0’이다.
3분기 주요 이슈 : ③랜섬웨어 조직 공격 전술 변화
랜섬웨어 공격 전술이 변화하고 있는 가운데, 최근 발견된 Qilin 랜섬웨어 변종이 주목받고 있다. 이 변종은 특정 엔드포인트에서 크롬(Chrome) 브라우저에 저장된 자격증명을 탈취한다. 탈취한 자격증명을 이용해 다단계 인증(MFA)이 설정되지 않은 VPN을 통해 네트워크 접근을 시도한다.
볼케이노 데몬(Volcano Demon) 그룹이 배포하는 LukaLocker는 Windows와 Linux 시스템을 타깃으로 하며, 공격자는 관리자 자격증명을 활용해 피해자의 네트워크에 침투한다. 특이한 점은 익명의 번호로 빈번히 전화를 걸어 피해자를 압박한다는 것이다.
CosmicBeetle 조직이 만든 ScRansom 랜섬웨어도 발견됐다. ScRansom은 Scarab 랜섬웨어가 개선된 버전으로, 주로 유럽, 아시아, 아프리카 및 남미의 중소기업을 공격타깃으로 한다. 주로 무차별 대입 공격과 알려진 보안 취약점을 활용해 침투하는 것으로 확인됐다. CosmicBeetle 조직은 RansomHub와 협력해 공격력을 강화했으며, LockBit을 모방해 더 많은 몸값을 요구하기도 한다.
3분기 주요 이슈 : ④새로운 RaaS 그룹 등장
Cicada3301은 3분기에 새롭게 등장한 RaaS 그룹으로, 과거의 유명한 암호학 퍼즐의 이름을 차용했다. Rust로 작성되어 크로스플랫폼을 지원하며 주로 VMware ESXi와 같은 가상화 환경을 공격 대상으로 삼고 있다. 다른 랜섬웨어들과 마찬가지로 이중 갈취 방식을 사용하며, ALPHV/BlackCat과의 상당한 유사성이 있어 Cicada3301이 ALPHV/BlackCat의 핵심 인원이 만든 것으로 추정되고 있다.
Eldorado는 올해 3월에 처음 등장한 RaaS로 Go 언어로 작성됐으며, 주로 윈도우와 ESXi 환경을 공격 타깃으로 삼는다. Eldorado는 사용자에게 맞춤형 암호화 옵션을 제공하며, 피해자의 데이터를 암호화한 후 몸값을 요구하는 방식으로 운영된다. 이 랜섬웨어는 빠르게 성장하며 다양한 산업에서 피해를 입히고 있다.
이 밖에도 LockBit 3.0 빌더를 사용해 제작된 브레인사이퍼(Brain Cipher)가 발견됐는데, 이 랜섬웨어는 특별히 맞춤형으로 제작된 버전을 이용해 인도네시아의 국가 데이터센터(Pusat Data Nasional)를 공격하기도 했다.
이스트시큐리티 ESRC 관계자는 “랜섬웨어 공격자들이 피해를 극대화시키고자 ESXi와 같은 가상화 솔루션을 주요 공격 타깃으로 삼고 있다”면서 “보안 담당자들이 최신 보안 패치를 신속히 적용하고, 사용자 접근 권한을 철저히 관리하며, 정기적인 교육과 모니터링을 통해 사이버 공격에 대한 예방 및 대응 체계를 강화해야 한다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
ESXi, 랜섬웨어 공격자들의 주요 공격 타깃 부상, 리눅스 시스템 타깃 랜섬웨어 증가
랜섬웨어 조직 공격 전술 변화, 새로 등장한 RaaS 기승
[보안뉴스 김경애 기자] 올해 3분기 랜섬웨어가 기승을 부린 것으로 나타났다. 주요 이슈로는 △ESXi, 랜섬웨어 공격자들의 주요 공격 타깃이 부상했고, △리눅스 시스템을 타깃으로 한 랜섬웨어가 증가했다. 또한 △랜섬웨어 조직의 공격 전술이 변화했고, △3분기에 새로 등장한 RaaS도 이슈가 됐다.
▲2024년 3분기 알약 랜섬웨어 행위기반 차단 통계[자료=이스트시큐리티]
이스트시큐리티(대표 정진일)에 따르면 2024년 3분기 ‘알약’의 랜섬웨어 행위기반 사전 차단 기능을 통해 총 69,582건의 랜섬웨어 공격을 차단했다고 발표했다. 하루 평균 755건이다.
3분기 주요 이슈 : ①ESXi
ESXi는 VMware의 하이퍼바이저로, ESXi 서버를 장악하면 해당 서버에서 동작하는 다양한 가상머신에 영향을 미칠 수 있어 랜섬웨어 공격자들의 주요 공격 대상으로 손꼽히고 있다.
6월 ESXi에서 인증 우회 취약점(CVE-2024-37085)이 발견된 이후, 아키라(Akira)와 블랙바스타(BlackBasta), 블랙바이트(Black Byte) 등 다수의 해킹 그룹이 공격에 해당 취약점을 적극적으로 악용했다.
이스트시큐리티는 “최근 발견된 Play 랜섬웨어의 변종 역시 VMware ESXi 환경을 대상으로 공격하도록 설계된 것으로 확인됐다”며 “VMware ESXi를 타깃으로 하는 랜섬웨어의 공격은 지속되고 더욱 거세질 것으로 예상된다”고 예측했다.
3분기 주요 이슈 : ②리눅스 시스템 타깃 랜섬웨어 증가
윈도우보다 상대적으로 안전하다고 간주된 리눅스 서버를 공격하는 랜섬웨어도 증가하고 있다.
Mallox 랜섬웨어 변종이 발견됐다. 이는 윈도우 시스템만을 공격 대상으로 한 기존과 다른 리눅스 시스템을 공격할 수 있도록 업데이트 된 것이다. 또한 크립티나(Kryptina) 코드를 기반으로 하는 새로운 맬록스(Mallox) 랜섬웨어 변종도 추가로 발견됐다. 이 새로운 변종은 크립티나(Kryptina)라는 랜섬웨어의 유출된 코드를 기반으로 하고 있으며, 리눅스 시스템 공격을 위해 설계됐다.
크립티나는 2023년 말 리눅스 시스템을 대상으로 하는 저비용 서비스형 랜섬웨어(RaaS)로 출시됐지만 많은 주목을 받지는 못했다. 하지만 2024년 2월 해킹 포럼에 소스코드가 유출됨에 따라 공격자들이 유출된 크립티나의 소스코드를 활용해 Mallox 랜섬웨어 변종을 제작했다. 이렇게 제작된 변종이 ‘Mallox Linux 1.0’이다.
3분기 주요 이슈 : ③랜섬웨어 조직 공격 전술 변화
랜섬웨어 공격 전술이 변화하고 있는 가운데, 최근 발견된 Qilin 랜섬웨어 변종이 주목받고 있다. 이 변종은 특정 엔드포인트에서 크롬(Chrome) 브라우저에 저장된 자격증명을 탈취한다. 탈취한 자격증명을 이용해 다단계 인증(MFA)이 설정되지 않은 VPN을 통해 네트워크 접근을 시도한다.
볼케이노 데몬(Volcano Demon) 그룹이 배포하는 LukaLocker는 Windows와 Linux 시스템을 타깃으로 하며, 공격자는 관리자 자격증명을 활용해 피해자의 네트워크에 침투한다. 특이한 점은 익명의 번호로 빈번히 전화를 걸어 피해자를 압박한다는 것이다.
CosmicBeetle 조직이 만든 ScRansom 랜섬웨어도 발견됐다. ScRansom은 Scarab 랜섬웨어가 개선된 버전으로, 주로 유럽, 아시아, 아프리카 및 남미의 중소기업을 공격타깃으로 한다. 주로 무차별 대입 공격과 알려진 보안 취약점을 활용해 침투하는 것으로 확인됐다. CosmicBeetle 조직은 RansomHub와 협력해 공격력을 강화했으며, LockBit을 모방해 더 많은 몸값을 요구하기도 한다.
3분기 주요 이슈 : ④새로운 RaaS 그룹 등장
Cicada3301은 3분기에 새롭게 등장한 RaaS 그룹으로, 과거의 유명한 암호학 퍼즐의 이름을 차용했다. Rust로 작성되어 크로스플랫폼을 지원하며 주로 VMware ESXi와 같은 가상화 환경을 공격 대상으로 삼고 있다. 다른 랜섬웨어들과 마찬가지로 이중 갈취 방식을 사용하며, ALPHV/BlackCat과의 상당한 유사성이 있어 Cicada3301이 ALPHV/BlackCat의 핵심 인원이 만든 것으로 추정되고 있다.
Eldorado는 올해 3월에 처음 등장한 RaaS로 Go 언어로 작성됐으며, 주로 윈도우와 ESXi 환경을 공격 타깃으로 삼는다. Eldorado는 사용자에게 맞춤형 암호화 옵션을 제공하며, 피해자의 데이터를 암호화한 후 몸값을 요구하는 방식으로 운영된다. 이 랜섬웨어는 빠르게 성장하며 다양한 산업에서 피해를 입히고 있다.
이 밖에도 LockBit 3.0 빌더를 사용해 제작된 브레인사이퍼(Brain Cipher)가 발견됐는데, 이 랜섬웨어는 특별히 맞춤형으로 제작된 버전을 이용해 인도네시아의 국가 데이터센터(Pusat Data Nasional)를 공격하기도 했다.
이스트시큐리티 ESRC 관계자는 “랜섬웨어 공격자들이 피해를 극대화시키고자 ESXi와 같은 가상화 솔루션을 주요 공격 타깃으로 삼고 있다”면서 “보안 담당자들이 최신 보안 패치를 신속히 적용하고, 사용자 접근 권한을 철저히 관리하며, 정기적인 교육과 모니터링을 통해 사이버 공격에 대한 예방 및 대응 체계를 강화해야 한다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=spacer}
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
