이스트시큐리티가 올해 3분기 자사 백신 프로그램 ‘알약’에 탑재돼 있는 ‘랜섬웨어 행위 기반 사전 차단’ 기능 통계를 분석한 결과 총 4만1065건의 랜섬웨어 공격을 차단했다 전했다.

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램을 통해 차단된 공격만을 집계한 결과로, 일평균 446건의 랜섬웨어 공격을 차단한 셈이다. 패턴 기반 탐지 건까지 포함한다면 전체 공격은 더 많을 것으로 예상된다.

이스트시큐리티는 3분기 랜섬웨어 주요 동향으로 ▲클롭(Clop) 랜섬웨어 조직, 무브잇(MOVEit) 취약점을 이용한 공격 지속 ▲3AM 랜섬웨어 등장 ▲VMware ESXi 서버를 타깃으로 한 랜섬웨어 공격의 지속 ▲락빗(LockBit) 랜섬웨어의 쇠퇴로 선정했다.

지난 5월27일 클롭 랜섬웨어 조직이 무브잇 트랜스퍼(MOVEit Transfer) 제로데이 취약점을 악용한 데이터 탈취공격을 진행한 바, 무브잇이 빠른 패치를 출시했으나 이후 2개의 추가 취약점을 해결했지만 무브잇 취약점을 이용한 공격은 3분기까지 지속됐다. 

이 공격으로 인해 약 500개의 조직과 3,500만명의 개인이 피해를 입은 것으로 확인됐다. 이를 통해 약 1억달러 이상의 수익을 거둔 것으로 예상된다.

클롭 랜섬웨어 그룹은 이번 공급망 취약점을 이용해 성공을 거둔 바, 이 점을 모방해 다른 랜섬웨어 조직도 새로운 공급망 취약점을 찾아 공격에 활용할 가능성이 높아질 것으로 예상되는 만큼 기업 SW들의 버전을 항상 최신으로 유지하는 것이 안전하다고 이스트시큐리티는 조언했다.

새로운 3AM 랜섬웨어도 발견됐다. 3AM 랜섬웨어는 Rust 언어로 작성됐으며 기존에 알려진 랜섬웨어 제품군과는 관련 없는 새로운 랜섬웨어 계열로 추정되고 있다. 특이점은 공격자들이 락빗 랜섬웨어 배포 시도 후 실패할 경우 3AM 랜섬웨어를 배포한다는 것이다.

이 랜섬웨어는 파일을 암호화하기 전 다양한 보안·백업 제품 등 여러 서비스를 중지하려고 시도하며 암호화 완료 후에는 볼륨 섀도 복사본 삭제를 시도한다.

VMware ESXi를 타깃으로 하는 랜섬웨어 공격도 지속됐다. 다수의 기업이 더 나은 성능 및 리소스 관리를 위하여 가상화 환경을 구축하는 추세로, VMware ESXi는 가장 인기있는 가상머신 플랫폼 중 하나다.

2022년 6월 처음 발견된 몬티(Monti) 랜섬웨어는 의도적으로 콘티(Conti) 랜섬웨어를 모방한 이름과 공격 기법을 활용하고 있으며 콘티의 유출된 소스코드를 사용하기도 했다.

이 조직은 올해 8월 새로운 리눅스 기반의 랜섬웨어를 공개했는데, 기존에 유출된 콘티의 소스코드를 기반으로 제작된 이전 버전과는 달리 새로운 버전은 다른 암호화 방식을 사용하며 파일 크기를 기준으로 암호화할 파일을 선정하는 것으로 확인됐다. 암호화 후에는 파일 확장자를 .monti로 변경한다.

올해 3월에 등장한 아비스 락커(Abyss Locker)의 리눅스 버전이 VMware ESXi 서버를 타깃으로 공격을 진행 중인 것도 확인됐다.

아비스 락커 랜섬웨어 역시 기업 네트워크에 침투해 데이터를 탈취하고 암호화하며, 랜섬머니를 지불하지 않을 시 Abyss-data라는 Tor 사이트에 데이터를 유출한다.

분석결과 VMware ESXi 관리툴 명령어인 ‘esxcli’를 이용하여 사용가능한 가상머신을 모두 종료하는 행태를 보여 해당 랜섬웨어가 VMware ESXi 서버를 공격 대상으로 하고 있다는 점을 알 수 있다.

한편, 락빗 랜섬웨어는 쇠퇴의 길로 들어선 것으로 추정된다. 락빗 랜섬웨어는 2020년 처음 등장한 RaaS 랜섬웨어로 최근까지 활발한 공격 활동을 벌였다. 2022년 9월22일 락빗 3.0 빌더가 유출됐고, 유출된 빌더의 소스코드는 다른 랜섬웨어 조직이 악용해 다양한 변종을 제작하는 데 사용됐다.