개요
2023년 10월 랜섬웨어 공격으로 인한 피해 사례 발생 건수는 전월(496건) 대비 약 30% 감소한 349건으로 나타났다. 그러나, LockBit이 활발한 활동을 하고 있으며 다양한 랜섬웨어 이슈들이 계속해서 발생하고 있어 여전히 긴장감은 유지되고 있다.
이번 달에는 악성코드 Qakbot 의 유포 정황이 다시 포착됐다. 지난 8월 말, FBI가 국제 공조를 통해 ‘Duck Hunt’ 작전을 실행해 Qakbot 관련 인프라와 암호화폐 자산을 압수하고 활동을 무력화시킨 것으로 알려졌으나, 이번달 피싱 이메일을 통해 Qakbot이 유포되고 있는 것이 확인됐다. 이번 유포 공격은 Qakbot 계열사의 소행으로 추정되나, 일각에서는 Knight를 유포하는 조직이 Qakbot을 이용하고 있는 것으로도 추측되고 있다.
Qakbot 공격은 공격자가 LNK 파일을 첨부한 피싱 이메일을 통해 Knight 랜섬웨어와 Remcos RAT 를 유포하는 방식으로 진행되고 있다. LNK 파일에는 PowerShell을 실행시켜 C2 서버 에서 Knight 랜섬웨어를 다운로드 하는 명령어가 담겨있다. 따라서 LNK 파일을 실행만 해도 Knight 랜섬웨어에 감염될 수 있어 주의가 필요하다. Knight 랜섬웨어 그룹은 Cyclops 랜섬웨어 그룹의 리브랜딩으로, 올해 8월 새롭게 활동을 시작한 이후 자체 랜섬웨어를 비롯해 다양한 전략을 사용한 적극적인 공세를 펼치면서 영향력을 확대하고 있다.
이번 달 다크웹의 XSS 해킹 포럼에서 HelloKitty 랜섬웨어의 초기 버전 소스코드가 유출됐다. HelloKitty는 DeathRansom, FiveHands 등의 계열로 알려져 있는 서비스형 랜섬웨어로, 이번 소스코드 유출로 인해 누구나 악용 가능하게 됐다. 과거 HiddenTear, Conti 랜섬웨어 등 랜섬웨어 소스코드 유출로 인해 변종 공격이 발생한 사례가 다수 존재하기 때문에 주의가 필요하다.
해당 소스 코드를 유출한 유저는 ‘kapuchin0’라는 공격자로 알려져 있으며, ‘Gookee’라는 별칭을 사용하고 있다. 이 유저는 이전부터 해킹 범죄에 가담한 이력이 있으며, 특히 2020년 Sony Network Japan에 대한 초기 침투 경로 및 RaaS(Ransomware-as-a-Service) 로 운영되는 GooKee 랜섬웨어를 판매하기도 했다. 또한, 그는 재정적 지원을 받으면 더 많은 랜섬웨어를 개발하겠다는 의지를 밝힘과 동시에 올해 말에 출시될 예정인 랜섬웨어의 암호화 기능에 대해 자랑하는 등 적극적인 활동 의지를 나타내기도 했다. (후략)
더 자세한 내용은 리포트 다운로드를 통해 확인하세요! (클릭)