2018년 3분기, 알약 랜섬웨어 공격 행위차단 건수: 332,236건!

안녕하세요 이스트시큐리티 입니다. 

통계에 따르면 이번 3분기에는 알약을 통해 차단된 랜섬웨어 공격은 총 332,236건으로, 이를 월간, 일간 기준으로 환산 시 월평균 110,745건, 일평균 3,692건의 랜섬웨어 공격이 발생한 것으로 확인되었습니다.

특히 이번 통계는 일반 사용자를 대상으로 하는 공개용 알약에서 랜섬웨어 행위기반 차단 기능을 통해 차단된 공격 횟수만 집계하였기 때문에, 패턴 기반 공격까지 포함하면 전체 공격의 수는 더욱 많을 것으로 예상됩니다. 

3분기 랜섬웨어 차단 횟수는 지난 2분기 대비 약 20% 감소한 것으로 나타났고, 특히 9월에는 10만여 건의 공격 차단이 발생해 2018년 2월 다음으로 랜섬웨어 유포가 적었던 달로 확인되었습니다. 

하지만 3분기 랜섬웨어 유포 감소 추세는 전반적인 공격 위협이 감소했다기보다는 7, 8월 여름휴가 시즌과 9월 추석 연휴 등의 영향으로 사용자의 PC 사용률이 줄어든 것과 관계가 있는 것으로 추측되고 있습니다.

 

라크니(Rakhni) 악성코드에서 처음 발견된 사용자 시스템 환경 확인 후 조건에 따라 가상화폐 채굴 또는 파일 암호화 공격을 선택하는 기능이 갠드크랩 4.3 버전부터 적용되었으며, 2018년 1월부터 9월까지 가장 많이 유포되었던 갠드크랩(GandCrab) 랜섬웨어는 지속적으로 버전을 업그레이드하며 여전히 강력한 보안 위협으로 주목받고 있습니다.

 

이 밖에 3분기 유포된 주요 랜섬웨어는 다음과 같습니다.

 

랜섬웨어명	특징
GandCrab	2018년 1월부터 9월까지 가장 많이 유포된 랜섬웨어. 계속적으로 버전을 업그레이드하면서 현재 5.0.4버전까지 발견되었음. 5점대 버전은 멀버타이징 공격을 통해 유포되고 있고, 4점대 버전에서의 암호화파일 확장명이 .KRAB이 아닌 5자리의 랜덤한 확장명을 사용하며, HTML형식의 맞춤법이 부실한 한국어 랜섬노트를 생성함.
Ryuk	Hermes 랜섬웨어의 변종으로 추정되는 여러가지 연관성이 확인되었고, 불특정다수보다는 랜섬머니를 지불할 여력이 있는 일정규모 이상의 기업을 주로 노린 랜섬웨어
KEYPASS	2018년 8월에 발견된 후 꾸준히 유포가 확인되고 있음. STOP랜섬웨어의 변종으로 추정되며, 주로 정상프로그램인 것처럼 가장하여 유포가 이뤄짐. 감염되면 .keypass 확장자를 추가함
KrakenCryptor	GandCrab 랜섬웨어 유포에도 활용되었던 Fallout EK로 유포된 랜섬웨어. 사용자가 감염된 사이트에 방문할 경우 게이트웨이를 통해 Fallout EK가 호스팅된 페이지로 사용자를 redirection함. 랜섬노트에 텍스트로 제작한 Kraken 이미지가 상단에 노출됨
Abantes	사용자 PC 감염 후 시스템을 로그오프하는 것뿐만 아니라 입력장치를 제어하고 시스템의 정상부팅을 불가하도록 만드는 랜섬웨어
Princess Locker 변종	기존 Princess Locker와 동일한 랜섬노트를 사용하는 Princess Locker 랜섬웨어의 변종. Tor 랜섬머니 결제페이지의 이름도 Princess Evolution. 여러 협력사를 통해 배포되고 있는 RaaS(Ransomware as a Service)형 랜섬웨어. RIG Exploit을 통해 유포가 된 것을 확인
FBI locker / screenlocker	FBI(미국연방수사국)의 이름을 사칭하는 신종 악성코드. 감염되면 랜섬웨어에 의해 파일이 암호화된 것처럼 보여주고 사용자를 속이지만 실제로 파일은 암호화되지 않으며, 감염된 컴퓨터의 화면을 잠그기만 함.

3분기 연속으로 증가하던 랜섬웨어 공격의 증가 추세는 멈췄지만 아직 특별히 공격이 감소했을 만한 요인을 추정하기 어렵기 때문에, 휴가 시즌과 명절 연휴가 기간 내 포함돼 PC 사용률 감소로 인한 일시적인 공격 감소 추세가 나타났을 가능성이 크다고 추정하고 있습니다. 

랜섬웨어 감염 피해 예방을 위해서는 사용 중인 운영체제(OS)와 SW, 백신 최신 업데이트는 물론, 중요한 자료의 수시 백업, 알 수 없는 출처의 이메일 첨부파일 등을 열람하지 않는 보안 수칙 준수 노력이 필요합니다.

이스트시큐리티는 더 안전한 사용자 사용 환경을 만들기 위해 한국인터넷진흥원(KISA)과 긴밀한 협력을 통해 랜섬웨어 정보 수집과 대응을 진행하고 있습니다. 

감사합니다.