이스트시큐리티, 2024년 2분기 알약 랜섬웨어 행위기반 차단 건수 총 71,416건

2024-07-17 10:00
편집부 press@bodnara.co.kr

보안 전문 기업 이스트시큐리티(대표 정진일)는 2024년 2분기 알약의 랜섬웨어 행위기반 사전 차단 기능을 통해 총 71,416건의 랜섬웨어 공격을 차단했다고 발표했다. 즉 하루 평균 793건의 랜섬웨어 공격이 차단된 셈이다.

이스트시큐리티는 24년 2분기 주요 랜섬웨어 동향으로 우후죽순 등장하는 RaaS 서비스, 정크건(Junk Gun)의 등장, 랜섬웨어의 공격 지속, ESXi 타깃 랜섬웨어 공격 패턴 공개를 선정했다. 자세한 내용은 하기와 같다.

전 세계적으로 악명을 떨친 락빗(LockBit) 랜섬웨어 조직과 블랙캣(Black Cat) 랜섬웨어 조직이 국제 사법기관들의 공조, 파트너들사 신뢰를 저버리는 행위 등의 이유로 영향력이 크게 약화되었다.

이 두 조직은 RaaS(Ransomware as a Service) 산업에서 가장 큰 영향력을 발휘하던 그룹이었으나, 기대와 다르게 이 틈을 타 랜섬허브(RansomHub), 킬섹(KillSec), 캐시(Cash) 랜섬웨어, 엘도라도(Eldorado) 등 다양한 RaaS들이 우후죽순 등장하였다.

새로 등장한 RaaS 서비스 중 랜섬허브(RansomHub) RaaS는 Go언어와 C++언어로 제작된 멀티플랫폼(윈도우, 리눅스, ESXi) 서비스이다. 랜섬허브 RaaS는 파트너사에게 많은 제휴사 유치를 위해 높은 커미션을 제시하는 것으로 보인다. 실제로 매우 빠른 속도로 성장하고 있으며 일각에서는 코드 및 난독화 기술 등의 유사성을 언급하며 랜섬허브가 나이트(Knight) 랜섬웨어의 리브랜딩 버전이라는 의견도 있다.

해커그룹 킬섹(KillSec)이 킬섹(KillSec) RaaS를 공개했다. 이 서비스는 Tor 네트워크 를 사용하며 통계, 채팅, 빌드 기능 등 사용자들을 위해 다양한 편의성을 제공한다고 홍보하고 있다. 뿐만 아니라 향후 DDoS, 통화기능, 정보탈취 기능 등이 업데이트 될 예정이라고 밝혔다.

보안업체 소포스(Sophos)는 가격이 저렴하고 낮은 수준의 정크건(Junk Gun) 랜섬웨어에 대해 공개하였다. 이 랜섬웨어들은 기존의 파트너 기반의 구독형 RaaS와는 다르게 독자적으로 운영되며 저렴한 가격이 특징이다. 소포스는 23년 6월부터 24년 2월 동안 수집한 19가지 종류의 정크건 랜섬웨어 정보를 공개하였으며, 기존의 RaaS들과 비교하였을 때 정교함과 기술력이 뒤떨어지지만 그에 반해 평균 가격이 400달러로, 공격에 성공하면 얻은 수익의 전부를 가져간다는 점에서 많은 초보 해커들의 환영을 받고 있다고 말했다.

또한 CVE-2023-22518 취약점을 악용한 케르베르(Cerber) 랜섬웨어의 리눅스 변종이 배포되고 있다. 이 취약점은 아틀라시안 컨플루언스 데이터센터(Atlassian Confluence Data Center) 및 서버에 존재하며, 공격자들은 해당 취약점을 악용하여 관리자 계정을 생성하고 웹 셸을 통해 랜섬웨어를 실행한다. CVE-2023-22518 취약점 패치가 공개되었지만, 여전히 패치되지 않은 시스템을 타깃으로 공격이 지속되고 있는 만큼 보안담당자들의 빠른 패치가 필요하다.

사용자들이 가짜 소프트웨어를 내려받도록 유도하는 캠페인도 발견되었다. 공격자들은 검색엔진에서 특정 소프트웨어를 검색할 때, 정상 Putty 및 WinSCP 프로그램 다운로드 페이지처럼 위장한 광고 페이지를 띄워 사용자로 하여금 가짜 소프트웨어를 내려받도록 유도한다.

이 설치 패키지 내부에는 정상 exe 파일과 함께 악성 python311.dll이 포함되어 있으며, 사용자가 셋업 파일 실행 시 DLL 사이드로딩(DLL Sideloading)을 통해 악성 dll이 실행되고 최종적으로 랜섬웨어 배포를 시도한다. 이런 공격방식은 블랙캣/알프브이(BlackCat/ALPHV) 랜섬웨어를 배포한 공격 캠페인과 유사하지만 랜섬웨어와 관련된 자세한 정보는 공개되지 않았다.

VMware ESXi 시스템을 타깃으로 하는 랜섬웨어 공격이 지속되고 있는 가운데, 보안전문가들이 ESXi시스템을 타깃으로 하는 랜섬웨어 공격 패턴에 대해 공개하였다. 주로 피싱, 악성파일 다운로드, 취약점 등을 통해 최초 공격이 시도된다. 최초 공격이 성공하면 부르트 포스(brute force) 공격이나 기타 방식을 이용하여 ESXi 호스트 또는 vCenter에 접근을 위한 권한상승을 시도하며, 이 후 백업 시스템을 파괴하거나 암호화하고 데이터를 탈취한다.

데이터 탈취 후에는 랜섬웨어를 실행시켜 ESXi 파일 시스템의 /vmfs/volumes 하위 디렉토리를 암호화 하고, 가상화 되지 않은 워크스테이션과 서버에 랜섬웨어를 확산시킨다고 밝혔다.

닉네임

비회원

보드나라 많이 본 뉴스

펄어비스, 인텔 아크 그래픽 카드 사용자에 붉은사막 구매자 환불 권유

어도비 구독 해지 다크 패턴 논란, 미 정부와 1억5천만 달러 합의

붉은사막 지원, AMD 소프트웨어 26.3.1 버전 배포

보드나라 많이 본 기사

인텔 메인스트림 CPU의 왕위 계승, 코어 울트라 7 270K Plus

갤럭시 S26 울트라에 올인, 삼성전자 갤럭시 언팩 2026

M5 시리즈로 업그레이드, 애플 신형 맥북과 스튜디오 디스플레이 시리즈 발표

보드나라 최신 기사

[07/17] SL노트, IT기기 ‘방문 매입-데이터 삭제’ 원스톱 서비스 진행

[07/17] 넥슨, 모바일 방치형 RPG ‘메이플 키우기’ PC 버전 베타 서비스 시작

[07/17] 넥슨, ‘던전앤파이터’ 신규 시즌 ‘천해천’ 업데이트 실시!

[07/17] 서린씨앤아이, 비콰이어트 PC 케이스 10종 새학기 맞이 최대 25% 특가 할인 진행

[07/17] 넥슨, ‘던전앤파이터 모바일’에 신규 레이드 ‘침식의 시로코’ 업데이트!

[07/17] 넷마블 <일곱 개의 대죄: GRAND CROSS>, ‘그랜드 시즌: 일곱 번째 봄’ 업데이트

[07/17] 웹젠 뮤 모나크2, 신규 콘텐츠 ‘불사의 회랑’ 업데이트

[07/17] 한국레노버, 온디바이스 AI로 업무 혁신 이끄는 ‘씽크패드 아우라 에디션’ 3종 출시

[07/17] CXMT 중국 메모리는 가격 폭등을 타고 메모리 BIG4가 될 수 있을까?, [메모리 가격 폭등 9부]

[07/17] 화제의 게임 붉은사막,더 어울리는 CPU 선택은?

[07/17] 밸로프, ‘라스트오리진’ 대만 서비스 1주년 업데이트 실시

[07/17] NHN클라우드-NHN두레이, DB Inc.와 ‘금융 DX-AI 전환’ MOU 체결

[07/17] 넥슨, ‘바람의나라’ 30주년 신규 직업 ‘흑화랑’ 티저 영상 공개

[07/17] 마이크로소프트, 대한민국을 ‘글로벌 AI 허브’로.. 실험 단계 넘어 ‘프론티어 전환’ 본격 가동

[07/17] 인텔, 인텔 vPro 탑재한 ‘인텔 코어 Ultra 시리즈 3’ 출시로 차세대 기업용 PC 지원

[07/17] 엔비디아, ‘포르자 호라이즌 6’ 포함 최신 게임 3종에 DLSS 기술 지원

[07/17] 노르딕 세미컨덕터, 사이버 복원력법 대응을 위한 수명주기 기반 단일 고정 비용의 FOTA 솔루션 공개

[07/17] OpenAI, 동영상 생성 AI 서비스 '소라' 서비스 종료 결정

[07/17] 도브러너, 멀티 DRM 환경을 위한 라이선스 보안 솔루션 ‘라이선스 사이퍼 게이트웨이’ 출시

[07/17] 야마하뮤직코리아, 40년 디지털 오디오 노하우 집약한 ‘MGX 시리즈’ 출시

로그인 | 이 페이지의 PC버전