.png)
.png)
.png)
.jpeg)
.webp)
전문상담 예약 처리결과
전문상담신청이 완료되었습니다.
SK쉴더스 {{ date }}
랜섬웨어
2024년 3분기 랜섬웨어 트렌드와 Meow Ransomware 그룹 상세 분석
2024
.
12
.
02
■ 끈질긴 수사 성과…랜섬웨어 피해 건수, 전년 동기 대비 대비 약 7% 감소
2024년 3분기 KARA 랜섬웨어 동향 보고서를 발행합니다. KARA(Korean Anti Ransomware Alliance, 카라)는 국내 유일의 민간 랜섬웨어 대응 협의체로, 랜섬웨어 예방, 사고접수, 복구까지 원스톱으로 대응하고 있습니다. 이번 포스팅에서는보고서를 통해 24년 3분기 랜섬웨어 그룹 동향 및 Meow Ransomware 그룹에 대해 살펴보겠습니다.
2024년 3분기 랜섬웨어 피해 건수는 1,314건으로 작년 동기 대비 약 7%감소했으며, 2분기 대비 약3% 감소한 수치를 보였습니다. 이는 법 집행 기관의 처벌과 끈질긴 수사로 인해 공격자들이심리적 압박을 느껴 활동을 종료하거나 인프라가 압수 되어 공격 건수가 줄어든 결과로 보입니다.
특히 핵티비스트 그룹으로 알려진 SiegedSec의 경우수사 기관의 압박에 두려움을 느껴 활동을 종료했습니다. 또한, Dispossessor랜섬웨어 그룹은 인프라를 압수당해 폐쇄됐는데요. 압수당한 인프라에는 24개의 서버와 9개의 도메인이 포함되어 있으며, FBI의 조사 결과 총 43개의 기업이 공격받은 것으로 확인됐습니다.
피해 건수는 소폭 감소했지만, 3분기에도 랜섬웨어 공격자들은고도화된 전략을 통해 공격을 지속하고 있습니다. 이번 분기의 랜섬웨어 공격은 주로 미국과 제조업을 타깃으로 이뤄졌으며, 특히 최근 가장 활발한 활동을 보이고 있는 RansomHub 그룹이 가장 많은 피해 건수를 기록했는데요. RansomHub 그룹은스피어 피싱이나 Zerologon 취약점 등을 악용해 초기 침투 후, 탐지 회피를 위해 BYOVD(Bring Your Own Vulnerable Driver) 기법을 활용해 EDR 솔루션을 무력화시키는 EDRKillShifter를 사용하여 195건의 피해 건수를 기록했습니다.
■ 고도화된 전략을 통한 공격! 3분기 랜섬웨어 그룹 활동 양상
이어서 대표적인 랜섬웨어 그룹의 활동 양상을 살펴보겠습니다. Play랜섬웨어 그룹은 서비스형 랜섬웨어인 RaaS 그룹은 아니지만 꾸준히 많은 피해자를 만들고있으며 최근에는 ESXi 타깃 변종을 출시하여 공격 범위를 넓히고 있습니다.
LockBit 그룹은 관계자의 체포와 수사 기관의 압박, 계열사 이탈 등으로 이전과 같은 모습을 보이고 있지 않지만 여전히 위협적인 그룹으로 자리 잡고 있습니다. LockBit 그룹의 위협과 영향력이 커지면서 이를 모방하거나 유출된 빌더를 사용한 랜섬웨어들이 꾸준히 발견되고 있는데요. 특히, 2024년 10월에는LockBit 2.0과 동일한 바탕화면 이미지를 사용하고 MacOS를 겨냥한 NotLockBit 랜섬웨어가 발견되기도 했습니다.
Meow 랜섬웨어 그룹은 2022년 8월부터 활동을 시작했으며, 2023년 3월에 복호화 도구가 출시되면서 한동안 활동이 중단된 바 있습니다. 이후 2023년 11월에 데이터 유출 사이트를 개설한 뒤 피해자를 게시하기 시작하며 매월 피해 건수가 급격히 증가해 위협적인 랜섬웨어 그룹으로 자리 잡았습니다.
또한, Hunters International 그룹은 SharpRhino RAT(Remote Access Trojan)를 최근 공격에 사용하여 정상 도메인의 일부를 변형한 타이포스쿼팅 도메인을 통해 웹사이트를 구축했는데요. 사용자가 해당 도메인에 잘못 접속하면, 정상적인 오픈소스 프로그램인 Angry IP Scanner로 위장한 악성코드를 통해 사용자의 의심 없이 시스템에 상주하며 악성 행위를 수행하는 모습을 보였습니다.
■ 새롭게 등장한 15개의 신규 랜섬웨어 그룹
올해 3분기에는 15개의 신규 랜섬웨어 그룹이 발견됐습니다. 7월에 활동을 시작한 Lynx 랜섬웨어 그룹은 북미와 유럽 전역의 소매, 부동산, 건축, 금융과 같은 다양한 산업 분야를 타깃으로 20곳 이상의 피해자를 데이터 유출 사이트에 공개했으며, 현재까지 꾸준히 활동하고 있습니다. Lynx 랜섬웨어는 AES-128 알고리즘과 Curve25519*를 사용해 파일을 암호화하며, 암호화된 파일에는 .lynx 확장자를 추가했습니다. 또한, 실행 시 인자에 따라 프린트 관련 기능이 동작하며, 옵션이 활성화된 경우 감염된 시스템에 연결된 프린트 장치를 찾아 랜섬 노트를 출력했습니다.
*Curve25519 : 빠른 속도와 보안성을 제공하는 타원곡선 기반의 비대칭키 암호화 알고리즘
Vanir 랜섬웨어는 2024년 7월, 3개의 기업을 데이터 유출 사이트에 공개하며 새롭게 등장했는데요. Vanir 그룹의 다크웹 데이터 유출 사이트는 Akira 랜섬웨어 그룹의 명령줄 도구 스타일의 인터페이스와 유사한 형태로 구성되어 Akira 그룹과의 연관성이 의심되지만 단순 모방일 가능성도 있습니다. 또한, 이들의 데이터 유출 사이트는 지난 9월 독일 사법기관에 의해 폐쇄되었고, 이후 추가적인 활동은 확인되지 않고 있습니다.
RansomCortex 그룹은 2024년 7월 11일 데이터 유출 사이트에 첫 게시물을 올리며 활동을 시작했는데요. 한 언론사에서 RansomCortex의 멤버 중 한 명과 진행한 인터뷰에 따르면, 이들은 취약점을 악용하기도 하지만 공격을 수행하기 위한 다양한 전문가들과 협력하며 자체적으로 정보를 수집한다고밝혔습니다.
■ 활발한 활동을 보이고 있는 Meow 랜섬웨어 그룹
2024년 3분기, Meow 랜섬웨어 그룹은 76건의 피해 건수를 기록하면서 활발한 활동을 보였습니다. Meow 랜섬웨어는 2022년 3월 유출된 ContiRansomware의 소스코드로 개발된 변종 랜섬웨어 중 하나로 2022년 8월부터 활동을 시작했고, 이후 다양한 공격을 수행하며 257여 명의 피해자를 감염시키는 등 활발한 활동을 해왔는데요.
그러나, 2023년 3월 포럼을 통해 활동 중단을 선언한 뒤 잠시 종적을 감췄습니다. 이후 2023년 11월 활동을 재개한 Meow 랜섬웨어 그룹은 Vanderbilt 대학 메디컬 센터를 다크웹 데이터 유출 사이트에 게시하면서 다시 활동을 시작했는데요. 활동 재개 이후 이들의 공격 방식은 과거 랜섬웨어를 통한 파일 암호화를 이용한 협상에서, 데이터 유출을 중심으로 방향을 전환했습니다. 이들 그룹은 시스템에 침투해 정보를 탈취하고 판매하는 방식으로 수익을 올리기도 했습니다.
Meow 랜섬웨어 공격자는 다양한 방식을 통해 초기 침투를 수행하며 주로 사용하는 네 가지 방식은 다음과 같습니다.
1️⃣ 멀버타이징(Malvertising) 공격
광고 사이트를 공격해 악성 스크립트를 삽입하고 광고가 노출될 때 취약점을 이용해 기업 내 시스템에 침투하는 이 방식은 스피어 피싱과 같은 대상을 특정 지어 공격하는 케이스와 달리 불특정 다수를 대상으로 하는 공격 방식인데요. 취약점을 통해 감염된 사용자가 랜섬웨어 공격에 큰 영향을 받을 수 있는 기업일 경우 추가적인 침투를 수행하기도 합니다.
2️⃣ 피싱 이메일을 이용한공격
이메일 등에 악성 링크 등을 첨부하고 기업들의 공개된 이메일로 전송한 뒤 사용자의 클릭이나 파일 다운로드를통해 악성코드를 실행해 시스템을 감염시키고 초기 침투를 수행합니다.
3️⃣ 취약점을 이용한공격
외부 인터넷에 접점이 있는 서버나 서비스 등의 취약점을 이용해 악성 스크립트를 설치 후 초기 침투를 수행합니다.
4️⃣ RDP(Remote Desktop Protocol)를 이용한 접근
원격 접속인 RDP(Remote Desktop Protocol)를 이용한 최초 접근을 수행하는데요. 최초 침투 이후, 내부 네트워크 전체를 장악하기 위해 내부 네트워크를 스캔하고, 원격 공유 폴더 내 파일들을 조작하거나, 내부 시스템의 원격 연결 시스템 등을 악용해 전체 시스템 장악을 수행한 후 침투한 네트워크 내 중요 정보를 공격자의 C2로 탈취한 후 Meow 랜섬웨어를 유포해 암호화를 수행한 뒤 금전을 요구했습니다.
■ Meow 랜섬웨어에 대응할 수 있는 방안은?
Meow 랜섬웨어는 피싱과 멀버타이징 등 다양한 공격 경로를 통해 초기 침투를 수행하며, RDP와 공유 폴더를 활용한 내부 전파로 시스템을 장악하는 특징을 보이는데요. 특히 중요 정보 유출 후 이를 다크웹에서 판매하는 방식을 사용하고 있어, 몸값 지불 여부와 관계없이 추가적인 피해가 발생할 수 있다는 점에서 각별한 주의가 요구됩니다. 따라서 기업은 외부 접점이 있는 시스템에 대한 철저한 보안 관리와 지속적인 업데이트를 수행해야 하며, RDP와 같은 원격 접속 서비스는 비활성화 하거나 강력한 보안 정책을 적용하는 등 선제적인 보안 강화 조치를 실시해야 합니다.
이번 동향 보고서에는 큰 폭의 상승세를 보이며 위협적인 랜섬웨어 그룹으로 자리매김한 Meow 랜섬웨어의 기능 분석부터 랜섬노트 생성 과정까지 심층적으로 분석한 내용을 담았습니다. 뿐만 아니라, Cloud 환경을 노리고, 취약점을 악용한 공격 동향에 대해서도 확인할 수 있는데요. 랜섬웨어동향 보고서에 담긴 다양한 내용이 궁금하다면 다음 링크를 클릭해 보세요!
24년 3분기 KARA 랜섬웨어 동향 보고서 자세히 읽기
■ 효과적인 랜섬웨어 대응을 위한 원스톱 서비스, SK쉴더스 MDR 서비스
랜섬웨어 공격은 사전 예방이 가장 중요하지만, 피해 발생 시 신속한 조치를 통해 피해를 최소화하는 것도 중요합니다. 단계별 대응 방안에 맞는 개별 서비스를 도입해 보안 체계를 마련하는 것이 어렵게만 느껴진다면 SK쉴더스 MDR 서비스를 이용해 보세요. SK쉴더스 MDR 서비스는 진화하는 랜섬웨어 공격 분석부터 대응까지 가능한 원스톱 솔루션을 제공하고 있습니다. SK쉴더스는 수많은 해킹 피해 사례를 조사하고 연구하면서 산업별 레퍼런스 및 노하우를 축적했는데요. 이를 기반으로 고객 맞춤형 서비스를 제공하며 안전한 비즈니스 환경을 구축할 수 있습니다.
✅ Managed EDR 전문가 운영 대행
24X7 관제요청 접수가 가능하며 숙련된 운영 전문가의 신속한 대응 체제를 보유하고 있습니다. 다양한 산업군 레퍼런스를 통해 고객 환경 맞춤형 서비스를 제공합니다.
✅ Detection SK쉴더스 상세 분석 서비스
Top-CERT 및 EDR/악성코드 분석가를 통해 최적화된 보안 체계를 수립이 가능합니다. 전담 조직 체제를 통해 주기적 위협 헌팅을 수행하고, 신속하고 정확한 대응 서비스를 제공합니다.
✅ Response 침해사고 관점 통찰력
국내 최다 침해 사고 분석 및 조사 노하우를 적용해 국내 최대 보안 수준으로 침해사고에 대응합니다. 또한, 고객 보안 부서와의 협업을 통해 위협 확산을 차단하는 등 사전 보안 위협 대응 역량을 강화할 수 있습니다.
고도화되는 랜섬웨어 공격, 신속 정확한 사고 조사와 분석을 토대로 맞춤형 보안솔루션을 제공하는 SK쉴더스 MDR 서비스로 대응해 보세요!
이전글
개인정보 수집 및 이용 동의
- 개인정보의 수집에 대한 동의를 거부할 권리가 있습니다.
- 다만, 개인정보 수집·이용에 동의하지 않을 경우 간편상담 서비스 제공이 불가능합니다.
수집항목
목적
이용 및 보관기간
고객명, 전화번호
SK쉴더스 제품 및 서비스 상담 등 안내
수집된 개인정보는 상담 신청 후 6개월 보관 /이용 후 파기
마케팅 정보 제공을 위한 개인정보 수집이용 동의
- (주)SK쉴더스는 제품 및 서비스 관련 홍보‧마케팅 정보 발송을 위해 아래와 같이 개인정보를 수집∙이용합니다.
- 귀하는 홍보‧마케팅 활용을 위한 개인정보 수집·이용 동의를 거부할 권리가 있으며, 동의 거부 시에도 상담 신청은 가능합니다.
수집항목
목적
이용 및 보관기간
고객명, 전화번호
SK쉴더스의 제품 및 서비스 관련 홍보∙마케팅 정보 전달
수집된 개인 정보는 상담 신청일로부터 6개월까지 보관 / 이용 후 파기
신용정보활용체제공시
신용정보의 이용 및 보호에 관한 법률
제 32조 제5항 및 동법 시행령 제 28조 제 9항에 따라
당사의 개인 신용정보 조회사실 및 사유를 아래와 같이 공시합니다.
- 조회목적 : 채권추심, 기업 신용도 판단을 위한 대표자 회의
- 조회기간 : 채권추심 위임 기간, 기업과의 상거래 설정 및 유지 기간
- 조회정보 : 신용개설정보, 채무불이행정보, 신용등급 및 평점 등
- 조회기간 : NICE신용평가정보(주), 서울신용평가정보(주)
조회한 내용은 아래 사이트의 ‘신용정보제공사실통보’에서 무료로 확인이 가능합니다.
- NICE신용평가정보(주) : www.mycredit.co.kr 또는 www.creditbank.co.kr
- 서울신용평가정보(주) : www.siren24.com
사업자 등록증 다운로드
사업장
지점명
사업자 번호
뷰가드AI
카메라
저장장치
카메라
저장장치
IP(STL) 저장장치
IP(포커스) 저장장치
전문상담 예약 처리결과
전문상담신청이 완료되었습니다.
홍보 및 마케팅 정보 수신 동의가 정상 처리되었습니다.
SK쉴더스 {{ date }}
SK쉴더스 홍보 및 마케팅 정보 수신 동의 처리결과
홍보 및 마케팅 정보 수신 동의가 정상 처리되었습니다.
SK쉴더스 {{ date }}
고객사용자 신청서 다운로드
고객사용자 신청방법
STEP 1
고객사용자 신청서 다운로드
STEP 2
요청내용 기입 및 계약서와 동일한 인감 날인 (사용인감 사용 시 사용인감계 첨부)
STEP 3
팩스발송 FAX) 02-3407-8140
이메일발송 capsuser@adt.co.kr
이메일발송 capsuser@adt.co.kr
고객 문의 개인정보 수집·이용 동의
(주)SK쉴더스는 홈페이지 이용고객의 문의사항 답변을 위해 아래와 같이 개인정보를 수집·이용 합니다.
개인정보 수집∙이용 내역
필수 항목
선택 항목
수집 목적
보유기간
이름, 이메일(E-mail), 연락처, 회사명/소속기관명, 산업군,
문의사항
회사규모, 문의분야, 인지경로
문의내용 답변 목적
문의내용 처리 후 즉시 파기
개인정보 수집 및 이용 동의
- 개인정보의 수집에 대한 동의를 거부할 권리가 있습니다.
- 다만, 개인정보 수집·이용에 동의하지 않을 경우 고객의 소리 제안 서비스 이용이 불가합니다.
수집항목
목적
이용 및 보관기간
고객 구분, 서비스 구분, 이름, 연락처, 상호명, 고객의 소리(칭찬, 불만, 제안) 내용(제목, 본문)
고객의 소리 제안(칭찬글 게시, 불편사항 등록)에 대한 처리 및 서비스 이용 여부 확인
수집된 개인 정보는 정보 기입 후 1년간 보관됩니다.
개인정보 수집 및 이용 동의(주소)
- 개인정보의 수집에 대한 동의를 거부할 권리가 있으며, 거부 시 불이익은 없습니다.
수집항목
목적
이용 및 보관기간
주소
고객의 소리(칭찬글 게시, 불편사항 등록)에 대한 처리, 및 서비스 이용 여부 확인, 통계 분석 데이터 활용을 통한 서비스 개선
수집된 개인 정보는 정보 기입 후 1년간 보관됩니다.
개인정보 수집 및 이용 동의
- AS접수 및 업무 수행을 위하여 아래와 같이 개인정보를 수집·이용합니다.
- 회사의 개인정보 수집 및 이용에 관한 설명을 이해하고, 이에 동의합니다.
필수항목
목적
이용 및 보관기간
거부권 및 불이익
상호, 이름, 연락처
AS간편접수
수집 후 6개월
개인정보 수집·이용에 동의하지 않을 경우 AS접수가 불가능합니다.
SK쉴더스 뉴스레터 수신 동의 처리결과
뉴스레터 수신 동의가 정상 처리되었습니다.
SK쉴더스 {{ date }}
SK쉴더스 뉴스레터 수신 동의 처리결과
뉴스레터 수신 동의가 정상 처리되었습니다.
홍보 및 마케팅 정보 수신 동의가 정상 처리되었습니다.
SK쉴더스 {{ date }}
전화상담 연결
이름을 입력해주세요.
연락처를 입력해주세요.
상담 시간을 선택해주세요.
문의가 완료되었어요.
URL이 복사되었습니다.
구독신청이 완료되었습니다.
불편∙제안사항글 올리기 완료되었습니다
