이스트시큐리티가 3분기 ‘알약’의 랜섬웨어 행위기반 사전 차단 기능을 통해 총 6만9582건의 랜섬웨어 공격을 차단했다고 전했다. 일평균 755건의 랜섬웨어 공격을 차단한 것이다.

3분기에 나타난 랜섬웨어 공격 동향으로 이스트시큐리티는 ▲주요 공격 타깃으로 ESXi 부상 ▲리눅스 겨냥 랜섬웨어 증가 ▲랜섬웨어 공격 전술 변화 ▲RaaS 등장 등을 꼽았다. 

이스트소프트에 따르면 VM웨어의 하이퍼바이저인 ESXi 서버를 장악하면 해당 서버에서 동작하는 다양한 가상머신에 영향을 미칠 수 있어 랜섬웨어 공격자의 주요 공격 대상이 되고 있다.

6월 ESXi에서 인증우회 취약점(CVE-2024-37085)이 발견된 이후 아키라, 블랙바스타, 블랙바이트 등 다수의 해킹그룹이 해당 취약점을 적극적으로 악용한 공격을 진행하고 있으며, 최근 발견된 플레이(Play) 랜섬웨어의 변종 또한 ESXi 환경을 대상으로 공격하도록 설계된 것이 확인됐다. 

윈도우보다 상대적으로 안전하다고 간주된 리눅스 서버를 공격하는 랜섬웨어도 증가 추세다.

최근 발견된 맬록스 랜섬웨어 변종의 경우에도 윈도우만을 대상으로 했던 기존 방식과 다르게 리눅스 시스템도 공격할 수 있도록 업데이트됐으며, 크립티나 코드를 기반으로 하는 새로운 맬록스 랜섬웨어 변종 역시 크립티나라는 랜섬웨어의 유출된 코드를 기반으로 리눅스 시스템을 공격하도록 설계됐다.

새로운 RaaS 그룹의 등장도 눈여겨 볼 현상이다. 시카다3301, 엘도라도 등 새로운 RaaS 그룹이 등장해 피해를 확산하고 있는 것으로, 시카다3301은 ESXi와 같은 가상화 환경을 공격 대상으로 삼고 있다. 

엘도라도는 윈도우와 ESXi 환경을 공격 타깃으로 삼아 다양한 산업에 피해를 입히고 있다. 브레인사이퍼라는 그룹은 맞춤 제작된 버전을 이용한 인도네시아의 국가데이터센터를 공격하기도 했다. 

이스트시큐리티는 “랜섬웨어 공격자들이 피해를 극대화시키고자 ESXi와 같은 가상화 솔루션을 주요 공격 타깃으로 삼고 있다”며 “최신 보안 패치를 신속히 적용하고, 사용자 접근권한을 철저히 관리하는 동시에 정기적인 교육과 모니터링을 통해 사이버 공격에 대한 예방·대응 체계를 강화해야 한다”고 밝혔다.