랜섬웨어는 피해자의 데이터를 암호화하고 암호 해독 키에 대한 대가로 몸값을 요구하도록 설계된 멀웨어의 일종입니다.
목차
랜섬웨어는 서비스형 사이버 범죄 모델인 RaaS(Ransomware-as-a-Service)로 진화하여 도달 범위를 넓혔습니다. 이 새로운 접근 방식을 통해 랜섬웨어 개발자는 랜섬웨어 도구를 계열사에 임대하여 더 많은 공격을 발생시킬 수 있습니다.
랜섬웨어 그룹은 매년 더 많이 등장하고 있으며, 각각은 뚜렷한 전술, 표적 및 영향을 가지고 있습니다. 다음은 지속적인 사이버 위협의 다양성과 진화를 강조하는 15가지 랜섬웨어 사례입니다.
RansomHub
RansomHub는 2024년 2월에 처음 탐지된 RaaS(Ransomware-as-a-Service) 그룹으로, 상당한 몸값을 지불할 가능성이 높은 대기업을 대상으로 하여 '빅 게임 헌팅' 전략으로 빠르게 명성을 얻었습니다. 트렌드마이크로가 Water Bakunawa로 추적한 RansomHub는 클라우드 스토리지 백업 및 잘못 구성된 Amazon S3 인스턴스의 취약점을 악용하여 공급자와 클라이언트 간의 신뢰를 활용하여 갈취 전술을 강화하는 것으로 관찰되었습니다.
아키라
Akira는 2023년 초에 등장했으며 가장 악명 높은 랜섬웨어 패밀리 중 하나로 빠르게 자리매김했습니다. Akira는 이중 갈취 전술, 서비스형 랜섬웨어(RaaS) 전달 모델 및 비기존 결제 옵션을 활용하여 운영 성공에 기여했습니다. Akira는 20만 달러에서 400만 달러 이상의 대규모 몸값을 요구하는 것으로 알려져 있습니다.
WannaCry
2017년 5월 WannaCryransomware 공격은 150개 이상의 국가에서 200,000개 이상의 시스템을 감염시킨 Microsoft Windows 취약점을 악용했습니다. 이 악성코드는 파일을 암호화하고 암호 해독 키에 대해 비트코인에서 몸값을 지불하도록 요구했습니다. WannaCry 공격의 최대 피해자 중 하나는 최대 70,000개의 장치가 감염되고 약 19,000개의 진료 예약 또는 절차가 취소된 영국 국립 보건 서비스(NHS)였습니다.
그림 2: 감염 다이어그램
경사
Cl0p라고도 하는 클로프랜섬웨어는 2019년부터 활발하게 사용되어 왔으며 다단계 갈취 전술과 2019년부터 2021년까지 미화 5억 달러가 넘는 대규모 공격으로 유명합니다. Clop은 또한 Accellion의 파일 전송 어플라이언스와 같이 널리 사용되는 소프트웨어의 취약점을 악용하여 그 범위를 극대화했습니다.
트리고나
Trigona 랜섬웨어 그룹은 맞춤형 암호화를 위한 명령줄 인수를 포함하여 다양한 기능을 가진 여러 버전을 출시함으로써 빠르게 진화했습니다. 그들은 계열사에 대해 20% ~ 50%의 높은 수익 지분을 적극적으로 광고했으며, 이는 수익성 있는 운영을 나타냅니다. 그러나 2023년 10월에 누출 현장이 철수하여 운영 상태가 불확실한 상황에서 활동이 갑자기 중단되었습니다.
그림 3: Trigona 랜섬웨어 감염 체인
LockBit
LockBit는 RaaS(Ransomware-as-a-Service) 모델에서 작동하는 유명한 랜섬웨어 그룹입니다. LockBit 2.0 및 3.0을 포함한 여러 버전을 출시하여 이중 갈취 전술 및 맞춤형 암호화 방법과 같은 기능을 도입했습니다. 2024년 2월, 국제 법 집행 노력인 Operation Cronos는 인프라를 압수하고 주요 구성원을 체포하여 LockBit의 운영을 크게 중단시켰습니다. 이러한 좌절에도 불구하고 LockBit는 랜섬웨어 환경에서 여전히 중요한 위협입니다.
BlackCat
ALPHV 또는 AlphaVM으로도 알려진 BlackCat은 2021년 말부터 RaaS(Ransomware-as-a-Service) 모델에서 작동하는 정교한 랜섬웨어 그룹입니다. 금융 및 전문 서비스를 포함한 다양한 산업을 표적으로 삼았으며, 미국에서는 많은 피해자가 피해를 입었습니다. BlackCat은 Log4J와 같은 취약점을 침해하고 악용하는 등의 고급 기술을 활용하여 초기 액세스를 얻습니다. 또한 피해자가 몸값을 충족하도록 압력을 가하는 공공 데이터 유출 사이트로도 알려져 있습니다.
블랙 바스타
Black Basta는 RaaS(Rransomware-as-a-service)로 운영되는 랜섬웨어 그룹으로, 전 세계의 다양한 산업과 중요 인프라를 표적으로 삼아 랜섬웨어 환경에서 빠르게 명성을 얻었습니다. 이 그룹은 QakBot, Brute Ratel 및 Cobalt Strike와 같은 취약점을 악용하여 네트워크에 침투하고 민감한 데이터를 유출하는 것으로 관찰되었습니다.
로얄
2022년 초부터 활동 중인 랜섬웨어 그룹인 Royal은 공격적인 전술과 25만 달러에서 2백만 달러 이상의 높은 몸값 요구로 빠르게 명성을 얻었습니다. Royal은 데이터를 암호화하고 유출하는 이중 갈취 방법을 사용하고 있으며 ESXi 서버를 포함한 Linux 기반 시스템을 대상으로 운영을 확장했습니다. 이들의 피해자는 북미에서 상당한 집중을 통해 다양한 분야에 걸쳐 있습니다.
그림 5: 로얄 랜섬웨어의 공격 흐름
Water Ouroboros
2023년 10월에 등장한 Water Ouroboros는 RaaS(Ransomware-as-a-Service) 그룹으로 운영되며 2023년 1월 FBI로 인한 중단 이후 Hive 랜섬웨어에서 진화하고 있다고 주장합니다. 암호화, 취약점 악용, 자격 증명 덤핑 수행, Rust와 같은 언어로 작성된 지능형 멀웨어 사용보다 데이터 도난에 더 중점을 둡니다. 주요 목표는 미국, 캐나다, 영국, 프랑스, 독일 및 이탈리아입니다.
두드러기
Hive는 2021년에 등장한 RaaS(Ransomware-as-a-Service) 그룹으로, 의료, 금융 및 제조를 포함한 전 세계의 다양한 산업을 대상으로 합니다. 이들은 이중 갈취 전술을 채택하여 데이터를 암호화하고 몸값을 지불하지 않는 한 민감한 정보를 공개하겠다고 위협합니다. 2023년 1월, FBI는 Hive의 운영을 중단시켰지만 그룹은 계속해서 다른 별칭으로 운영되고 있습니다.
트렌드마이크로 랜섬웨어 보호
작년에 조직의 83%가 각각 440만 달러의 비용을 들이는 여러 침해에 직면한 반면, 위험 노출을 줄이면 평균 130만 달러의 비용을 절감할 수 있었습니다.
Trend Vision One™ 엔터프라이즈 사이버 보안 플랫폼의 일부인 사이버 위험 노출 관리는 클라우드, 하이브리드 또는 온프레미스 환경 전반에서 지속적인 검색, 실시간 평가 및 자동화된 완화를 통해 사이버 위험을 크게 줄입니다.
Joe Lee 는 트렌드마이크로의 제품 관리 부사장으로 엔터프라이즈 이메일 및 네트워크 보안 솔루션에 대한 글로벌 전략 및 제품 개발을 이끌고 있습니다.