본문 바로가기
보안 위협 동향

2019년 상반기 랜섬웨어 동향

by 분석연구팀 2019. 7. 16.

20192분기 샘플 건수는 474천건으로, 20191분기 336천 건 대비 41.2% 증가 하였다. 증가 원인이 된 랜섬웨어는 GandCrab 과 기타로 분류된 감염 리포트가 적은 랜섬웨어 유형이다. 감염 리포트 건수는 2분기 41천 건으로 1분기 147백 건 보다 무려 70.7% 감소하였다. 지난 2016년부터 랜섬웨어 통계를 산출하기 시작한 이래 가장 낮은 수치를 보였다.

 

[그림1] 2018.01~2019.06 랜섬웨어 통계 (샘플 및 감염 리포트 건수)

감소 원인은 대표적으로 GandCrab Wannacry 감염보고가 현저히 줄었기 때문으로 파악 되었다. GandCrab 3월부터 감염보고 건수가 감소하기 시작하여 6월 최대 폭으로 감소 하였다. 이러한 가장 큰 원인 중 하나로 지난 6월 초 Ransomware-as-a-Service (RaaS) 제공하는 제작자가 블랙마켓의 한 포럼에 더 이상의 제작을 중단 하기로 선언 했기 때문으로 추정된다.

 

[그림2] 2019.01~2019.06 GandCrab 샘플 및 감염 리포트 추세

아이러니하게도 샘플 건수와 리포트 건수 증가 및 감소 원인이 모두 GandCrab 에 있는 것으로 나타났다. GandCrab 20181월 처음 보고 되었으며 20196월까지 최악의 랜섬웨어 자리에 올랐다.

 

국내 보안패치의 인식을 한층 끌어 올린 SMB 취약점 (MS17-010, 일명 EtenalBlue) 을 악용하여 자신을 유포하는 Wannacry 역시 상반기를 대표하는 랜섬웨어로 확인되었다. 기업 환경에서는 다양한 IT 관리 및 절차상의 문제로 여전히 해당 보안패치를 적용하지 않는 곳이 많다는 걸 Wannacry 의 샘플 및 감염 리포트 건수 증가 통해서 직간접적으로 알 수 있었다.

 

[그림3] 2019.01~2019.06 Wannacry 샘플 및 감염 리포트 추세

 

Wannacry 뿐만 아니라 해당 취약점 악용 사례 이후 현재도 다양한 악성코드에서 해당 취약점을 악용 있다. 지금이라도 최우선 순위로 SMB 취약점의 보안패치를 전사에 적용할 수 있는 가이드를 계획하고 실행하는 것을 권고한다.

 

지난 1분기 주의해야 할 신규 랜섬웨어로 Clop Ransom 을 꼽았다. 해당 랜섬웨어의 샘플 건수 와 감염 리포트 건수는 지난 분기 대비 확연히 감소하였다. Clop Ransom 은 일반적인 랜섬웨어 유포 및 감염경로와 다른 양상을 보이는 것으로 확인되었다.

 

[그림4] 2019.01~2019.06 Clop Ransom 샘플 및 감염 리포트 추세

감소한 샘플 건수와 감염 리포트 건수 이면에는 초기 침투 후 은밀하고 지능 & 지속적으로 내부 정찰 및 확산시도 가능성도 있기 때문이다. 그동안 국내 랜섬웨어 표적이 일반 사용자 대상이였다면 Clop Ransom 을 기점으로 기업으로 확산 및 확인되고 있다. 과거 국내 사례에도 유명 호스팅 업체를 노리는 표적형 랜섬웨어 공격은 있었다. 그러나 Clop Ransom 은 특정 산업군을 구분하지 않고 다수의 기업을 표적으로 하고 있다. 이처럼 정교하며 지능, 지속 가능한 랜섬웨어 공격은 없었다. 다음은 Clop Ransom 감염 흐름을 간단히 정리하였다.

 

[그림5] ClopRansom 감염 흐름 요약

기업을 표적으로 하는 랜섬웨어 공격은 어제, 오늘의 일이 아니며 국외에서도 사례를 찾아볼 수 있다. 올 상반기, 대표적으로 노르웨이에 있는 세계 최대 알루미늄 제조사, 벨기에에 있는 비행기 부품 제조사가 랜섬웨어에 감염되어 곤욕을 치렀다. 이처럼 기업을 표적으로 하는 랜섬웨어가 있는가 하면 미국의 경우 주요 도시 내 자치 단체들이 랜섬웨어 피해를 보아 행정 업무가 마비 되는 사례도 있었다. 이런 사례를 보아 랜섬웨어의 공격 표적이 변화하고 있음을 알 수 있고 국내도 이러한 변화에 예외가 될 수는 없을 것으로 보인다.

 

상반기 주의해야 할 신규 랜섬웨어로는 BlueCrab 이 있다. 올해 4월 처음 보고 되었다. 또 다른 이름으로는 Sodinokibi (소디노키비) 라고도 불리 운다. 다음과 같이 GandCrab 과 유포 방법이 거의 같다.

 

GandCrab 유포 방법 BlueCrab
이메일내 첨부파일 통한 유포
Malvertising -> Exploit Kit 유포
WordPress 취약점 악용 > 포털 검색 상위 노출

[1] GandCrab BlueCrab 유포방법

 

[그림6] 2019.01~2019.06 BlueCrab 샘플 및 감염 리포트 추세

 

GandCrab 만큼 샘플 수와 감염보고 수에 미치지 못하지만, 유포 방법에 있어서 GandCrab 을 그대로 모방하고 있고 무엇보다도 이 랜섬웨어는 ‘Ransomware-as-a-Service’ (RaaS) 가 될 수 있도록 제작된 것으로 보인다. 이러한 이유는 랜섬웨어 내부에 암호화된 설정 파일 내 특정 필드 값으로 추정해 볼 수 있었다. RaaS 는 제작자와 공격자 간 비즈니스 관계가 존재 하여 공격자들의 요구사항 반영 및 유포 이후 상황을 추적하는 등의 서비스를 제공한다. 불행하게도 해당 RaaS 가 인기가 있다면 BlueCrab GandCrab 에 이어 최악의 랜섬웨어로 자리 잡을지도 모른다.

 

또 다른 신규 랜섬웨어로는 Fallout Exploit Kit (CVE-2018-8174 / CVE-2018-15982 악용)으로 유포 되었던 Maze Ransom 이 있다. 해당 랜섬웨어는 자사 제품이 설치된 폴더를 암호화에서 제외한 것으로 보아 국내 사용자를 노리고 유포된 것으로 보고 있다.

 

다음은 2019년 상반기 랜섬웨어 샘플 수량에 대한 TOP10 비율이다.

 

[그림7] 2019년 상반기 랜섬웨어 TOP 10 샘플 비율

GandCrab 20181월 처음 보고 된 후 약 15개월 동안 최악의 랜섬웨어로 자리 잡았다. 이 기간 동안 샘플은 569천건, 감염 리포트는 502천 건이 보고 되었다. 감염 리포트 건수가 샘플 건수와 비슷하다는 의미는 그 만큼 피해도 극심 했다라는 것을 의미 한다. 앞서 언급한 BlueCrab  TOP 10 내에 처음 진입하였다. 따라서 안랩은 해당 랜섬웨어에 대하여 지속해서 모니터링 및 대응하고 있다.

 

랜섬웨어의 표적에 대한 변화가 이미 시작되었다. 초기 침투부터 랜섬웨어로 인한 피해 발생까지의 과정이 지능적이며 지속적이다. 매번 당부한 보안 취약점 패치가 되어 있다고 해서 안심해서는 안 된다. Active Directory (AD)를 운영하는 기업 내 Clop Ransom 감염 사례가 상반기 보고 되고 있다. AD domain controller 관리자 계정이 탈취되어 연결된 하위 시스템들이 랜섬웨어에 감염 된 것이다. 계정 관리를 강화하여 반드시 AD 관리자 계정은 별도로 관리 하여야 한다. 또한, 자사 환경에 맞는 보안 제품들을 이용하여 전방위적 방어를 해야 한다. 기업 내 보안 담당자라면 혹시 모를 피해 발생 시 이를 초기에 파악하고 향후 유사 문제가 재발생하지 않도록 하는 계획과 절차가 필요하다.

 

댓글