지난 코로나 기간 동안 가장 많은 공격을 받았던 나라는 이스라엘과 한국이었다. 두 나라 사이에 격차가 크긴 하지만 나란히 1, 2위를 기록했다. 시스템 별로 봤을 때는 윈도의 압승이었다. 지금은 ‘오직 윈도만’ 공격한다고 봐도 과언이 아니다.
[보안뉴스 문가용 기자] 2020년 한 해와 2021년 전반기 동안 사이버 공격자들은 약 130개의 랜섬웨어 패밀리들을 사용했다. 이 많은 패밀리들 중 가장 눈에 띄는 건 갠드크랩(GandCrab)인 것으로 밝혀졌다. 지금은 주춤하지만 해당 기간 동안 가장 많은 피해자를 양산한 것이 갠드크랩이라는 것이다. 바이러스토탈(VirusTotal)에 업로드 된 랜섬웨어 샘플을 분석했을 때 나타난 결과다.
[이미지 = utoimage]
바이러스토탈은 구글의 자회사 중 하나로 최근 8천만 개의 랜섬웨어 샘플을 분석해 결과 보고서를 발표했다. 이 8천만이라는 숫자는 지난 1년 반 동안 바이러스토탈에 업로드된 랜섬웨어 샘플의 수다. 갠드크랩 다음으로 빈번히 나타난 샘플은 바북(Babuk), 케르베르(Cerber), 마츠누(Matsnu), 콩구르(Congur), 록키(Locky), 테슬라크립트(Teslacrypt), 알코르(Rkor), 레비온(Reveon)인 것으로 나타났다.
바이러스토탈로 샘플을 업로드 한 국가들은 총 140여개다. 가장 많은 샘플을 올린 건 이스라엘이고, 그 다음은 대한민국과 베트남, 중국, 싱가포르, 인도, 카자흐스탄, 필리핀, 이란, 영국 순서인 것으로 나타났다. 이들 국가들에서 랜섬웨어 공격이 빈번하게 일어난다는 것이다. 요즘 랜섬웨어 잡기에 앞장서고 있는 미국은 10위 안에 못 들었다.
바이러스토탈의 위협 첩보 전략가인 빈센트 디아즈(Vincente Diaz)는 “2020년 1사분기와 2사분기에 랜섬웨어 공격 행위가 급증했다”며 “이는 갠드크랩이라는 랜섬웨어 사업자들이 왕성하게 활동했기 때문”이라고 설명한다. 참고로 갠드크랩은 2020년 하반기에 급속도로 활동량을 줄이며 현재는 거의 사라지다시피 한 상태다. 그 다음 랜섬웨어 공격이 급증한 건 2021년 7월이다. 이 유행을 이끈 건 바북이었다고 한다.
디아즈는 “유행을 선도하는 대형 랜섬웨어 그룹이 나타났다가 사라졌다가 또 다른 랜섬웨어가 나타났다가 사라지는 건 늘상 있는 일”이라고 설명한다. “그렇지만 꽤나 오랜 기간 동안 사라지지 않고 사이버 범죄자들 사이에서 사용되는 랜섬웨어 패밀리들도 있습니다. 이 패밀리들은 약 100가지 정도 됩니다. 공격자들은 랜섬웨어를 퍼트리는 데에 봇넷과 원격 접근 도구를 가장 많이 사용합니다.”
또한 사이버 공격자들은 최신 버전의 멀웨어 샘플을 가장 선호하는 것으로도 나타났다. 100개 정도의 패밀리 안에서 약간씩 변경된 최신 샘플들로 방어 솔루션들을 무력화시키거나 우회한다는 것이다. 시그니처 기반 방어 솔루션들은 랜섬웨어를 막는 데에 그리 적합하지 않다는 뜻이 된다. 하지만 아마추어 해커들의 ‘찔러보기 식’ 공격을 막는 데에는 시그니처 기반의 솔루션들도 도움은 된다.
랜섬웨어 샘플들은 극소수만 제외하고 전부 윈도 시스템 기반 파일들이라는 사실도 이번 분석을 통해 드러났다. 무려 95%가 윈도 체제의 실행파일(.exe)과 라이브러리 파일(.dll)이었던 것이다. 2%는 안드로이드 기반의 멀웨어 형태로 유포되고 있었다. 또한 직접 익스플로잇을 실시하는 기능까지 갖춘 랜섬웨어 패밀리는 거의 보이지 않고 있다는 점도 특이할 만하다. “이는 랜섬웨어 페이로드가 소셜 엔지니어링 공격이나 로더 멀웨어를 통해 감염된다는 것을 보여줍니다. 그게 실제로 조사되고 있는 랜섬웨어 트렌드인 것도 사실입니다.”
그렇다면 랜섬웨어를 퍼나르는 로더 멀웨어 혹은 다른 다운로더 멀웨어에는 어떤 게 있을까? 이번 분석에 따르면 이모텟(Emotet)이 압도적 1위인 것으로 나타났다. 이모텟은 현재 가장 많이 나타나고 있는 10개의 랜섬웨어 패밀리들 모두가 활용하고 있는 유포 수단이었다. 그 뒤로 지봇(Zbot), 드리덱스(Dridex), 고짐(Gozi), 다나봇(Danabot)이 월등히 많이 활용되고 있는 것으로 분석됐다.
이번 조사를 마치며 구글은 결론을 다섯 가지로 항목으로 요약했다.
1) 랜섬웨어 생태계는 유행에 매우 민감하지만, 그 기저에는 ‘상수’로서 항상 존재하는 위협 요소들도 있다.
2) 공격자들은 랜섬웨어를 유포하기 위해 다양한 방법을 사용하지만 현재는 봇넷과 원격 접근 도구가 가장 선호되고 있다.
3) 랜섬웨어를 퍼트리기 위해 공격자들은 주로 권한 상승 취약점과 횡적 움직임을 가능케 하는 취약점을 익스플로잇 한다.
4) 랜섬웨어 공격자들은 다 윈도를 노린다고 보면 된다. 그 다음 위험한 게 안드로이드 정도다.
3즐 요약
1. 바이러스토탈 보유한 구글, 8천만 랜섬웨어 샘플 분석.
2. 이스라엘이 가장 많은 공격을 받는 국가, 그 다음이 한국.
3. 현재로서는 윈도 시스템 방비만 잘 해도 랜섬웨어 막을 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 2020년 한 해와 2021년 전반기 동안 사이버 공격자들은 약 130개의 랜섬웨어 패밀리들을 사용했다. 이 많은 패밀리들 중 가장 눈에 띄는 건 갠드크랩(GandCrab)인 것으로 밝혀졌다. 지금은 주춤하지만 해당 기간 동안 가장 많은 피해자를 양산한 것이 갠드크랩이라는 것이다. 바이러스토탈(VirusTotal)에 업로드 된 랜섬웨어 샘플을 분석했을 때 나타난 결과다.
[이미지 = utoimage]
바이러스토탈은 구글의 자회사 중 하나로 최근 8천만 개의 랜섬웨어 샘플을 분석해 결과 보고서를 발표했다. 이 8천만이라는 숫자는 지난 1년 반 동안 바이러스토탈에 업로드된 랜섬웨어 샘플의 수다. 갠드크랩 다음으로 빈번히 나타난 샘플은 바북(Babuk), 케르베르(Cerber), 마츠누(Matsnu), 콩구르(Congur), 록키(Locky), 테슬라크립트(Teslacrypt), 알코르(Rkor), 레비온(Reveon)인 것으로 나타났다.
바이러스토탈로 샘플을 업로드 한 국가들은 총 140여개다. 가장 많은 샘플을 올린 건 이스라엘이고, 그 다음은 대한민국과 베트남, 중국, 싱가포르, 인도, 카자흐스탄, 필리핀, 이란, 영국 순서인 것으로 나타났다. 이들 국가들에서 랜섬웨어 공격이 빈번하게 일어난다는 것이다. 요즘 랜섬웨어 잡기에 앞장서고 있는 미국은 10위 안에 못 들었다.
바이러스토탈의 위협 첩보 전략가인 빈센트 디아즈(Vincente Diaz)는 “2020년 1사분기와 2사분기에 랜섬웨어 공격 행위가 급증했다”며 “이는 갠드크랩이라는 랜섬웨어 사업자들이 왕성하게 활동했기 때문”이라고 설명한다. 참고로 갠드크랩은 2020년 하반기에 급속도로 활동량을 줄이며 현재는 거의 사라지다시피 한 상태다. 그 다음 랜섬웨어 공격이 급증한 건 2021년 7월이다. 이 유행을 이끈 건 바북이었다고 한다.
디아즈는 “유행을 선도하는 대형 랜섬웨어 그룹이 나타났다가 사라졌다가 또 다른 랜섬웨어가 나타났다가 사라지는 건 늘상 있는 일”이라고 설명한다. “그렇지만 꽤나 오랜 기간 동안 사라지지 않고 사이버 범죄자들 사이에서 사용되는 랜섬웨어 패밀리들도 있습니다. 이 패밀리들은 약 100가지 정도 됩니다. 공격자들은 랜섬웨어를 퍼트리는 데에 봇넷과 원격 접근 도구를 가장 많이 사용합니다.”
또한 사이버 공격자들은 최신 버전의 멀웨어 샘플을 가장 선호하는 것으로도 나타났다. 100개 정도의 패밀리 안에서 약간씩 변경된 최신 샘플들로 방어 솔루션들을 무력화시키거나 우회한다는 것이다. 시그니처 기반 방어 솔루션들은 랜섬웨어를 막는 데에 그리 적합하지 않다는 뜻이 된다. 하지만 아마추어 해커들의 ‘찔러보기 식’ 공격을 막는 데에는 시그니처 기반의 솔루션들도 도움은 된다.
랜섬웨어 샘플들은 극소수만 제외하고 전부 윈도 시스템 기반 파일들이라는 사실도 이번 분석을 통해 드러났다. 무려 95%가 윈도 체제의 실행파일(.exe)과 라이브러리 파일(.dll)이었던 것이다. 2%는 안드로이드 기반의 멀웨어 형태로 유포되고 있었다. 또한 직접 익스플로잇을 실시하는 기능까지 갖춘 랜섬웨어 패밀리는 거의 보이지 않고 있다는 점도 특이할 만하다. “이는 랜섬웨어 페이로드가 소셜 엔지니어링 공격이나 로더 멀웨어를 통해 감염된다는 것을 보여줍니다. 그게 실제로 조사되고 있는 랜섬웨어 트렌드인 것도 사실입니다.”
그렇다면 랜섬웨어를 퍼나르는 로더 멀웨어 혹은 다른 다운로더 멀웨어에는 어떤 게 있을까? 이번 분석에 따르면 이모텟(Emotet)이 압도적 1위인 것으로 나타났다. 이모텟은 현재 가장 많이 나타나고 있는 10개의 랜섬웨어 패밀리들 모두가 활용하고 있는 유포 수단이었다. 그 뒤로 지봇(Zbot), 드리덱스(Dridex), 고짐(Gozi), 다나봇(Danabot)이 월등히 많이 활용되고 있는 것으로 분석됐다.
이번 조사를 마치며 구글은 결론을 다섯 가지로 항목으로 요약했다.
1) 랜섬웨어 생태계는 유행에 매우 민감하지만, 그 기저에는 ‘상수’로서 항상 존재하는 위협 요소들도 있다.
2) 공격자들은 랜섬웨어를 유포하기 위해 다양한 방법을 사용하지만 현재는 봇넷과 원격 접근 도구가 가장 선호되고 있다.
3) 랜섬웨어를 퍼트리기 위해 공격자들은 주로 권한 상승 취약점과 횡적 움직임을 가능케 하는 취약점을 익스플로잇 한다.
4) 랜섬웨어 공격자들은 다 윈도를 노린다고 보면 된다. 그 다음 위험한 게 안드로이드 정도다.
3즐 요약
1. 바이러스토탈 보유한 구글, 8천만 랜섬웨어 샘플 분석.
2. 이스라엘이 가장 많은 공격을 받는 국가, 그 다음이 한국.
3. 현재로서는 윈도 시스템 방비만 잘 해도 랜섬웨어 막을 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
