신규 백도어 Betruger 등장과 RaaS 조직 잇따라
“이미 알려진 취약점 이용한 랜섬웨어 공격 지속돼”
[보안뉴스 조재호 기자] 이스트시큐리티의 보안 솔루션 ‘알약’이 올해 1분기 총 6만3909건의 랜섬웨어 공격을 차단했다. 하루 평균 694건의 공격을 막아낸 셈이다.
▲ 1분기 알약 랜섬웨어 행위기반 차단 건수 [자료: 이스트시큐리티]
이스트시큐리티는 올해 1분기 주요 랜섬웨어 동향으로 △RansomHub, 새로운 맞춤형 백도어 Betruger △CISA, FBI, MS-ISAC, Ghost 랜섬웨어에 대한 공동 권고문 발표 △1분기 신규 등장한 RaaS △랜섬웨어 조직, 취약점을 악용한 초기 침투 지속 등을 꼽았다.
이스트시큐리티 시큐리티 대응센터(ESRC) 관계자는 “이미 알려진 취약점을 이용한 랜섬웨어 공격이 지속되고 있다”고 밝혔다.
Ransomhub는 지난해 2월 등장 후 빠른 속도로 성장한 조직으로 최근 Betruger라는 새로운 맞춤형 백도어를 사용하고 있다. Betruger는 랜섬웨어 공격을 위한 다기능 백도어로 스크린샷 캡처와 키로깅, 파일업로드 등 다양한 기능을 포함하고 있다. 일반적인 랜섬웨어 공격에서 파일 암호화 이외에 특정 악성코드를 사용하는 매우 드문 사례로 향후 유사한 방식의 공격 확산이 우려된다.
CISA, FBI, MS-ISAC는 중국 연계로 추정되는 Ghost 랜섬웨어에 공동 권고문을 발표했다. Ghost 랜섬웨어는 2021년 초부터 지금까지 꾸준한 공격을 이어오고 있는데, 공개된 취약점(CVE-2018-13379, CVE-2010-2861 등)을 악용한 공격을 주로 활용한다.
신규 RaaS 조직으로 정부기관과 대기업 등 고부가가치 대상에 집중하는 ‘Morpheus’는 윈도우 암호화 API를 이용해 파일을 암호화하면서도 확장자를 변경하지 않는 점이 특징이다.
Anuvis 랜섬웨어는 윈도우와 리눅스, NAS 등 다양한 공격플랫폼을 지원하며 다양한 수익화 모델을 제공하며, 다양한 고급 기술을 갖춰 운영자의 숙련도가 매우 높은 것으로 추정된다.
지난달 7일 등장한 VanHelsing은 5000달러의 보증금만 지급하면 누구나 제휴할 수 있는 구조를 지녔는데, 독립국가연합(CIS) 공격을 금지하고 있는 조직으로 러시아 기반 조직의 연루 가능성이 제기되고 있다.
Mora_001은 포티넷 방화벽에서 발견된 CVE-2024-55591 및 CVE-2025-24472 인증우회 취약점을 활용해 슈퍼블랙 (SuperBlack) 랜섬웨어를 유포하고 있다. 이 랜섬웨어는 록비트 3.0 빌더를 기반으로 페이로드 구조와 암호화 방식이 동일해 Mora_001이 전 록비트 계열사 혹은 전 구성원일 가능성이 제기되고 있다.
한편 이스트시큐리티는 보안뉴스·시큐리티월드가 선정한 2025 Global Security TOP 100 기업이다. Global Security TOP 100은 물리보안 분야와 사이버보안 분야를 모두 포함해 2024년 한 해 동안 국내외에서 매출, 성장 속도, 기술력, 혁신성, 지속가능성 등에서 우수한 평가를 받아 선정됐다.
[조재호 기자(sw@boannews.com)]
“이미 알려진 취약점 이용한 랜섬웨어 공격 지속돼”
[보안뉴스 조재호 기자] 이스트시큐리티의 보안 솔루션 ‘알약’이 올해 1분기 총 6만3909건의 랜섬웨어 공격을 차단했다. 하루 평균 694건의 공격을 막아낸 셈이다.
▲ 1분기 알약 랜섬웨어 행위기반 차단 건수 [자료: 이스트시큐리티]
이스트시큐리티는 올해 1분기 주요 랜섬웨어 동향으로 △RansomHub, 새로운 맞춤형 백도어 Betruger △CISA, FBI, MS-ISAC, Ghost 랜섬웨어에 대한 공동 권고문 발표 △1분기 신규 등장한 RaaS △랜섬웨어 조직, 취약점을 악용한 초기 침투 지속 등을 꼽았다.
이스트시큐리티 시큐리티 대응센터(ESRC) 관계자는 “이미 알려진 취약점을 이용한 랜섬웨어 공격이 지속되고 있다”고 밝혔다.
Ransomhub는 지난해 2월 등장 후 빠른 속도로 성장한 조직으로 최근 Betruger라는 새로운 맞춤형 백도어를 사용하고 있다. Betruger는 랜섬웨어 공격을 위한 다기능 백도어로 스크린샷 캡처와 키로깅, 파일업로드 등 다양한 기능을 포함하고 있다. 일반적인 랜섬웨어 공격에서 파일 암호화 이외에 특정 악성코드를 사용하는 매우 드문 사례로 향후 유사한 방식의 공격 확산이 우려된다.
CISA, FBI, MS-ISAC는 중국 연계로 추정되는 Ghost 랜섬웨어에 공동 권고문을 발표했다. Ghost 랜섬웨어는 2021년 초부터 지금까지 꾸준한 공격을 이어오고 있는데, 공개된 취약점(CVE-2018-13379, CVE-2010-2861 등)을 악용한 공격을 주로 활용한다.
신규 RaaS 조직으로 정부기관과 대기업 등 고부가가치 대상에 집중하는 ‘Morpheus’는 윈도우 암호화 API를 이용해 파일을 암호화하면서도 확장자를 변경하지 않는 점이 특징이다.
Anuvis 랜섬웨어는 윈도우와 리눅스, NAS 등 다양한 공격플랫폼을 지원하며 다양한 수익화 모델을 제공하며, 다양한 고급 기술을 갖춰 운영자의 숙련도가 매우 높은 것으로 추정된다.
지난달 7일 등장한 VanHelsing은 5000달러의 보증금만 지급하면 누구나 제휴할 수 있는 구조를 지녔는데, 독립국가연합(CIS) 공격을 금지하고 있는 조직으로 러시아 기반 조직의 연루 가능성이 제기되고 있다.
Mora_001은 포티넷 방화벽에서 발견된 CVE-2024-55591 및 CVE-2025-24472 인증우회 취약점을 활용해 슈퍼블랙 (SuperBlack) 랜섬웨어를 유포하고 있다. 이 랜섬웨어는 록비트 3.0 빌더를 기반으로 페이로드 구조와 암호화 방식이 동일해 Mora_001이 전 록비트 계열사 혹은 전 구성원일 가능성이 제기되고 있다.
한편 이스트시큐리티는 보안뉴스·시큐리티월드가 선정한 2025 Global Security TOP 100 기업이다. Global Security TOP 100은 물리보안 분야와 사이버보안 분야를 모두 포함해 2024년 한 해 동안 국내외에서 매출, 성장 속도, 기술력, 혁신성, 지속가능성 등에서 우수한 평가를 받아 선정됐다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
