이스트시큐리티 “1분기 알약 랜섬웨어 차단 4.7만건”

알약 랜섬웨어 행위기반
사전차단 기능 통한 차단

2023년 1분기 랜섬웨어 행위기반 차단 통계. [사진 = 이스트시큐리티]

보안 전문 기업 이스트시큐리티는 올해 1분기 회사의 백신 프로그램 ‘알약’에 탑재돼있는 ‘랜섬웨어 행위 기반 사전 차단’ 기능을 통해 총 4만7천여건의 랜섬웨어 공격을 차단했다고 19일 밝혔다.

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신 프로그램의 ‘랜섬웨어 행위 기반 사전 차단 기능’을 통해 차단된 공격만을 집계된 결과다.

이스트시큐리티는 올해 1분기 랜섬웨어 주요 동향으로 △VM웨어 ESXi 취약점을 이용한 대규모 랜섬웨어 공격 발생 △해외 백신업체의 랜섬웨어 복호화 툴 공개 △락빗(LockBit) 랜섬웨어 공격의 지속 △Nim 프로그래밍 언어로 제작된 랜섬웨어 발견 △북한 랜섬웨어 관련 한미 합동 사이버보안 권고 발표를 선정했다.

VM웨어 ESXi는 전 세계적으로 많은 기업에서 사용하고 있는 가상화 플랫폼으로 해당 취약점을 이용한 대규모 랜섬웨어 공격이 발생했다. 엑시악스(ESXiArgs) 랜섬웨어는 주로 유럽 국가를 대상으로 진행됐으며 취약점이 패치되지 않은 ESXi 인스턴스를 공격 대상으로 삼았다.

해당 랜섬웨어는 암호화 후 파일 확장자를 ‘args’로 변경하며 피해 기업에 대가로 약 2만3000달러의 비트코인을 요구하는 것으로 확인됐다. 이에 대해 프랑스 CERT는 주의를 당부하는 공지를 발표했으며 FBI와 CISA는 복구 스크립트를 개발해 배포했다.

하지만 공격자들이 복구 스크립트 공개 후 암호화 타깃으로 삼는 구성 파일의 비율을 확대해 복구 스크립트를 무력화했다.

락빗 랜섬웨어의 위협도 지속됐다. 공격자들은 여전히 입사지원서를 위장한 피싱 메일 내 락빗 랜섬웨어가 포함된 압축파일을 첨부하는 형태로 유포했다. 파일명과 파일 확장자 사이에 다수의 공백을 추가하고 아이콘을 문서 아이콘으로 위장해 사용자의 실행을 유도한 점이 특징이다.

3월 말 락빗은 다크웹 희생자 목록에 국세청 홈페이지 주소를 추가하고 4월 1일 탈취한 정보를 공개하겠다고 밝혔다. 당시 국세청은 공식적으로 드러난 피해가 없다고 밝혔다. 결과적으로 해당 이슈는 단순 협박으로 결론 났다.

북한 랜섬웨어와 관련해 한국과 미국은 합동 사이버보안 권고를 발표했다. 보안권고문에는 북한이 자체 개발한 마우이 랜섬웨어, 홀리고스트 랜섬웨어 등에 대한 자세한 TTPs와 침해지표(IoC) 정보와 예방 대책이 포함됐다.

주로 국방·방산업체를 공격 대상으로 삼지만 다른 분야 역시 공격 표적이 될 수 있어 기업 보안담당자들은 한미 합동 사이버보안 권고의 내용을 확인하고 적절한 보안조치를 취할 것을 이스트시큐리티 측은 당부했다.