이스트시큐리티가 1분기 램섬웨어 주요 동향으로 ▲새로운 맞춤형 백도어 사용한 랜섬허브 ▲신규 RaaS 등장 ▲주요 기관의 랜섬웨어 대응 공동 권고문 발표 등을 선정하며 주의를 당부했다.

지난해 2월에 등장 후 급속 성장한 랜섬허브 공격자들은 최근 Betruger라는 새로운 맞춤형 백도어를 활용해 공격을 수행하고 있다. Betruger는 랜섬웨어 공격을 위해 개발된 다기능 백도어로, 스크린샷 캡처, 키로깅, 파일 업로드 등의 다양한 기능을 포함해 위험성이 높다.

이스트시큐리티에 따르면, 랜섬웨어 공격에서 파일 암호화 이외에 특정 악성코드를 사용하는 것은 드문 사례로 향후 유사 방식의 공격이 확산될 수 있어 악성코드 활용 랜섬웨어 공격에 대한 주의가 요청된다. 

이스트시큐리티는 고부가가치 대상에 공격을 수행하는 새로운 RaaS 조직의 등장도 주목할 공격 동향으로 꼽았다.

구체적으로 RaaS 모델을 기반으로 정부기관·대기업 등 고부가가치 대상에 집중 공격을 수행하는 Morpheus, 빠른 암호화 속도와 권한 상승 매커니즘, 방어 시스템 등의 다양한 고급 기술을 갖춘 Anubis, 러시아 기반 사이버 범죄조직의 연루 가능성이 제기되는 VanHelsing 등이 새롭게 등장하면서 랜섬웨어 피해를 확산하고 있다는 것이다. 

미국 사이버보안·인프라보안국(CISA), 연방수사국(FBI) 등은 중국 연계로 추정되는 고스트 랜섬웨어에 대한 공동 권고문도 발표했다.

고스트 랜섬웨어는 2021년 초 등장 이후 보안을 우회하기 위한 전술과 공격툴을 발전시키면서 지금까지 약 70여개국을 대상으로 꾸준한 공격을 이어오고 있다.

CISA 등은 고스트가 공개된 취약점을 악용하는 방식을 주로 사용하고 있다는 점을 지적하면서 취약점 패치, MFA 구현, 비정상 트래픽 모니터링, 정기적 백업 등 기본 보안 수칙 준수를 권고했다. 

1분기 알약의 랜섬웨어 행위기반 사전차단 기능으로 랜섬웨어 공격을 차단한 숫자는 총 6만3909건으로 집계됐다.

이스트시큐리티 시큐리티대응센터(ESRC)는 “알려진 취약점을 이용한 랜섬웨어 공격이 지속되고 있다”며 “보안 담당자들은 사내 인프라 점검을 통해 알려진 취약점을 패치하고 패치 적용이 어려운 상황이라면 추가적인 보안 조치 진행과 주기적인 데이터 백업을 통해 랜섬웨어 피해를 최소화할 수 있도록 해야 한다”고 조언했다.