이스트시큐리티가 ‘알약’의 행위기반 랜섬웨어 탐지 기술을 통해 1분기 7만9646건의 랜섬웨어를 차단했다고 밝혔다.

이와 함께 이스트시큐리티는 1분기 주요 랜섬웨어 동향으로 ▲크로노스 작전으로 ‘락빗’ 랜섬웨어 조직 소탕 ▲취약점을 이용한 랜섬웨어 공격 지속 ▲한국인터넷진흥원(KISA)의 리시다 랜섬웨어 복호화 툴 개발 ▲지속적 신규 랜섬웨어 등장 등을 꼽았다. 

이스트시큐리티가 주목한 크로노스 작전은 락빗 랜섬웨어 조직 소탕을 위해 2월 국제 수사 집행기관들이 협력해 진행한 공동 프로젝트로, 이를 통해 락빗 소스코드를 포함한 1천개 이상의 암호 해독키를 압수했으며, 34개의 데이터유출사이트 서버를 중단시키는 등의 성과를 이뤄냈다.

하지만 조직 무력화에 성공했다고 평가된 작전 이후 빠르게 공격 조직이 복구돼 충격을 안겼다. 작전 이후 단 5일만에 락빗 조직은 백업 데이터로 사이트를 복구했으며, 이후 다크웹 사이트를 통해 인프라와 운영적인 측면을 강화할 것이라고 발표했다.

물론 국제 공조로 일정 정보 이상의 타격을 안긴만큼 락빗 조직이 이전과 같은 활발한 활동을 수행할 수 있을지의 여부는 지켜볼 필요가 있다.

이스트시큐리티는 아울러 1분기에도 보안 취약점을 이용해 유포되는 다수의 랜섬웨어를 발견했다며 사용자의 주의를 당부했다.

일례로 CI 소프트웨어 ‘팀시티’의 온프레미스 플랫폼에서, 인증을 우회하고 서버관리를 제어할 수 있는 두가지 심각한 취약점(CVE-2024-27198, CVE-2024-27199)이 공개됐는데, 곧바로 해당 취약점을 악용하는 자스민 랜섬웨어 변종이 확인됐다.

또 주로 다중 요소 인증(MFA)이 없는 계정 접근을 통한 VPN 무단 접속 방식을 이용하던 아키라 랜섬웨어도 최근에는 시스코 ASA/FTD 취약점을 악용하도록 공격 전술을 변화시켰다. 

국민대학교 DF&C연구실과 협업해 리시다 랜섬웨어의 복호화 툴을 개발한 KISA의 발표도 주목할 부분이다. 리시다는 지난해 5월 처음 발견된 랜섬웨어다. 주로 VPN, 피싱메일을 통해 유포돼 피해를 확산했다. 

리디사 랜섬웨어는 미국 사이버보안·인프라보안국(CISA)과 연방수사국(FBI)이 버보안 권고문으로 기업의 주의를 당부할 만큼 골칫거리가 됐지만, KISA는 신속하게 복호화 툴을 개발함으로써 리디사 피해를 방지할 수 있게 해 전세계의 주목을 받았다. KISA의 복호화 툴은 국제협력을 통해 검증을 완료해 리디사 피해기업이 안심하고 복호화를 진행할 수 있다. 

이외에 포보스 랜섬웨어 계열의 파우스트 랜섬웨어가 1분기에 등장했으며, 러시아어 다크웹에서 윙이라는 새로운 서비스형 랜섬웨어(RaaS)가 발견되는 등 신규 랜섬웨어 등장도 지속됐다.

파우스트는 파일리스 공격을 통해 암호화 프로세스를 시작하고, 여러 스레드를 생성해 랜섬웨어의 효율적인 실행을 꾀하며, 윙은 암호화 모드, 멀티스레딩, 커스터마이징과 같은 다양한 기능을 제공하는 특징을 지닌다. 

이스트시큐리티는 “보안 취약점을 이용한 랜섬웨어 공격이 지속되고 있다”면서 “사용자와 기업 보안담당자들은 주요 소프트웨어의 정기적인 업데이트를 통해 보안 취약점을 악용한 랜섬웨어 공격을 효과적으로 방지해야 한다”고 조언했다.