|
이스트시큐리티가 선정한 1분기 주요 랜섬웨어 동향은 △랜섬허브, 새로운 맞춤형 백도어 비트루거(Betruger) 사용 △1분기 새로 등장한 서비스형 랜섬웨어(RaaS) △미국 사이버안보청(CISA)·연방수사국(FBI) 등 기관의 고스트 랜섬웨어에 대한 공동 권고문 발표 △랜섬웨어 조직, 취약점을 악용한 초기 침투 지속 △1분기 새로 등장한 랜섬웨어 소개 등이다.
랜섬허브와 비트루거 백도어
지난해 2월에 등장 이후 빠른 속도로 성장하며 RaaS 시장의 새로운 강자로 자리 매김한 랜섬허브 공격자들이 비트루거라는 새로운 맞춤형 백도어를 사용하는 것으로 확인됐다.
비트루거는 랜섬웨어 공격을 수행하는데 사용하기 위해 특별히 개발된 다기능 백도어로, 스크린샷 캡처, 키로깅, 파일 업로드 등 기능을 포함하고 있다.
이스트시큐리티에 따르면 현재까지 확인된 랜섬허브 공격 사례에서 이 백도어가 사용됐다. 일반적으로 랜섬웨어 공격에서 파일 암호화 이외 특정 악성코드를 사용하는 것은 매우 드문 사례로, 향후 유사 방식의 공격 확산이 우려된다.
신규 RaaS 조직 등장
모피어스(Morpheus)는 작년 12월에 등장한 랜섬웨어로 RaaS 모델이다. 윈도 암호화 응용프로그래밍 인터페이스(API)를 이용해 파일을 암호화하면서도 파일 확장자가 변경되지 않는 점이 특징이다. 같은 시기 등장한 아누비스(Anubis) 랜섬웨어는 각종 공격 플랫폼(윈도·리눅스·나스·ESXi 등)을 지원한다.
지난달에는 반헬싱(VanHelsing)이라는 RaaS가 새롭게 등장했다. 5000달러의 보증금만 지불하면 누구나 제휴사로 가입할 수 있는 구조다. 제휴사는 랜섬머니의 80%를 수익으로 가져갈 수 있으며, 독립국가연합(CIS) 회원국에 대한 공격을 금지하고 있어 러시아 기반 사이버 범죄조직의 연루 가능성이 제기되고 있다.
美, 中 연계 랜섬웨어 ‘고스트’ 보안 권고문 발표
미국 사이버안보청(CISA)과 연방수사국(FBI), 미국 주·지방정부 정보공유센터(MS-ISAC)는 중국 연계로 추정되는 랜섬웨어 ‘고스트’에 대한 공동 권고문을 발표했다. 고스트 랜섬웨어는 2021년 초 등장 이후 지금까지 약 70여개국 기업을 대상으로 꾸준한 공격을 이어오고 있다.
공개된 취약점을 악용한 공격이 주요 방식으로, 기관들은 사용자들에게 취약점 패치, 다중인증(MFA) 구현, 비정상 트래픽 모니터링, 정기적 백업 등 기본 보안 수칙 준수를 권고했다.
이스트시큐리티 시큐리티 대응센터(ESRC) 관계자는 “이미 알려진 취약점을 이용한 랜섬웨어 공격이 지속되고 있다”면서 “보안 담당자들은 사내 인프라 점검을 통해 알려진 취약점을 패치해야 하고, 패치 적용이 어려운 상황이라면 추가적인 보안 조치를 진행 및 주기적인 데이터 백업을 통해 랜섬웨어 피해를 최소화할 수 있도록 해야 한다”고 말했다.
![“꺄악!” 시민들 혼비백산…친구에 칼 휘두른 소년 그 내막은[그해 오늘]](https://image.edaily.co.kr/images/vision/files/NP/S/2025/04/PS25042600001t.jpg)