개요
2023년 8월 랜섬웨어 공격으로 인한 피해 사례 발생 건수는 전월(487건) 대비 17.6% 감소한 401건으로 나타났다. 이는 Clop 랜섬웨어 그룹의 피해 사례 게시 건수가 170건에서 5건으로 줄어든 영향이 크다. Clop 랜섬웨어 그룹은 지난 6월부터 MOVEit 취약점을 악용한 공격을 활발히 진행해왔다. 하지만, 최근 Clop 랜섬웨어 그룹의 행보를 보면 MOVEit 취약점을 통한 게시가 끝난 것으로 보이며 추가적인 게시는 없을 것으로 추정된다.
또한, Clop 랜섬웨어 그룹은 그동안 다크웹 유출 사이트에서 피해 기업의 데이터를 다운로드하도록 했으나, 다크웹 특성상 느린 속도로 인해 피해 기업의 유출 데이터를 다운로드를 통해 배포하기 어렵다는 이유로 다운로드 플랫폼을 토렌트[1]로 옮겼다. 토렌트는 전송 속도가 기존 다크웹 유출 사이트보다 빠르며, 탈취한 데이터를 광범위하게 배포할 수 있기 때문에 피해자들에게 금전 지불의 압박을 더하려는 의도로 보인다. 이처럼 랜섬웨어 그룹은 탈취한 데이터를 유포하는 수단을 다양화하고 있으며, 그 전략 또한 나날이 발전하고 있다.
[1] 토렌트: 인터넷 상에 존재하는 파일을 여러 조각으로 나누어, 사용자들 간에 서로 직접 공유하는 프로토콜 또는 프로그램
LockBit에 의한 피해 사례 발생 건수는 전월(49건)에 대비 148.9% 증가한 122건을 기록했다. 그러나, 최근 LockBit 내부에서는 운영적인 부분에 대한 여러 이슈가 발생하고 있다. 오랜 기간 개발자의 부재와 지속되는 조직원들의 체포, 데이터 탈취 및 유출 데이터 게시가 원활하지 못한 미흡한 운영과 조치로 인해 LockBit 계열사들이 이탈하는 움직임을 보였으며, 그간 유출 데이터가 올라오지 못한 모습의 원인으로 꼽히고 있다. 이러한 현상은 LockBit 그룹이 많은 피해자를 유발하며 몸집이 커지는 동안 그것을 뒷받침할 인프라가 정상적으로 형성되지 못하여 그런 것으로 추측된다. 시시각각 변하는 랜섬웨어 생태계 속에서 LockBit 그룹이 이러한 이슈들을 해결하지 못한 채 지속적으로 운영된다면 REvil이나 Hive 그룹처럼 역사 속으로 사라질 수도 있다.
Conti의 유출된 소스코드를 사용한 그룹인 Monti 랜섬웨어 그룹은 2달의 공백기를 깨고 최근 Linux 환경을 타깃으로 한 랜섬웨어 변종을 가지고 돌아왔다. 기존 Monti 랜섬웨어는 Conti 랜섬웨어의 유출된 코드와 99%의 유사성을 보이며 Conti 랜섬웨어를 단순히 재사용했으나, 이번 Linux 타깃 변종 랜섬웨어는 Conti의 코드와 유사도가 29% 남짓 밖에 되지 않아 Conti 코드를 차용하여 새롭게 개발한 것으로 보인다. (후략)
더 자세한 내용은 리포트 다운로드를 통해 확인하세요! (클릭)