개요

‍

2024년 1월 랜섬웨어 공격으로 인한 피해 사례 발생 건수는 전월(420건) 대비 약 30% 감소한 299건으로 나타났다. 국제 수사기관의 공조로 랜섬웨어 공격자들이 연이어 체포됐으며, 이 소식이 빠르게 전해지면서 랜섬웨어 그룹들의 활동이 위축되었다. 이와 함께 지난 12월 발견된 신규 랜섬웨어 그룹들의 추가적인 공격 활동이 없었기 때문으로 분석된다.

​

하지만 다양한 수단과 방법을 사용한 랜섬웨어 공격이 발생했다. 특히, 상용 RMM(Remote Monitoring and Management) 도구를 랜섬웨어 공격에 악용한 사례가 이목을 끌었다. Cactus 랜섬웨어 그룹은 AnyDesk, Splashtop, SuperOps  등의 RMM 솔루션을 사용해 글로벌 에너지 기업 슈나이더 일렉트릭 기업 네트워크를 공격했다.

​

또한, 원격 제어 소프트웨어 TeamViewer 를 통해 전파되고 있는 LockBit 랜섬웨어의 변종도 발견됐다. 유출된 계정을 이용해 TeamViewer에 로그인한 후, 네트워크 내 PC에 접근해 랜섬웨어를 전파하는 방식으로 공격이 이뤄졌다. 공격에 사용된 랜섬웨어는 기존 LockBit 랜섬웨어와 소스코드는 동일하지만 랜섬노트에는 차이를 보여, 유출된 LockBit의 빌더로 제작된 랜섬웨어로 추정되고 있다.

​

Akira, BlackByte, AvosLocker, RobbinHood, Kasseika 등의 랜섬웨어 그룹들은 BYOVD(Bring-Your-Own-Vulnerable-Driver) 를 이용한 공격을 하고 있다. 특히, Kasseika 랜섬웨어 그룹은 랜섬웨어가 보안 솔루션에 감지되지 않도록 하기위해 BYOVD를 사용한 것으로 확인됐다.

​

2022년부터 국내에서는 이력서, 저작권 침해를 가장한 피싱 메일을 통해 LockBit 랜섬웨어가 유포되고 있다. 피싱 메일에는 문서 파일을 가장한 NSIS(Nullsoft Scriptable Install System)  실행파일이 첨부되어 있어, 파일이 실행되면 암호화 및 데이터 유출 공격에 노출된다. 과거 피싱 메일은 어색한 한국어를 사용해 의심할 여지가 있었으나, 최근에는 생성형 AI의 발달로 더욱 자연스럽고 속기 쉬운 형태로 진화하고 있다. 따라서 출처가 불분명한 이메일은 열람하지 않아야 하며, 매크로를 포함한 MS Office 문서 파일(.XLSM, .DOCM), 실행 가능한 파일(.EXE, .SCR, .BAT)의 첨부파일은 실행하지 않도록 주의를 기울여야 한다. (후략)

​

더 자세한 내용은 리포트 다운로드를 통해 확인하세요! (클릭)

​

‍