2022년 1분기, 알약을 통해 총 177,732건의 랜섬웨어 행위기반 공격이 차단된 것으로 확인되었습니다.

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지 건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상됩니다.

1분기 알약을 통해 차단된 랜섬웨어의 공격은 총 177,732건으로, 일간 기준으로 환산하면 일 평균 약 1,974건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. 

랜섬웨어의 공격 건수는 2021년도 4분기에 비해 약 1만 4천여건 증가하였습니다.

ESRC는 2022년 1분기 랜섬웨어 주요 동향을 다음과 같이 선정하였습니다. 
 
1) 러시아,우크라이나 전쟁과 랜섬웨어
2) 꾸준히 랜섬웨어를 유포 중인 비너스락커 조직
3) 타이포스쿼팅을 통해 유포되는 매그니베르 랜섬웨어
4) 글로벌 기업들의 랜섬웨어 피해 지속
 
2022년 1분기, 러시아의 우크라이나 침공이 세계적인 이슈였습니다. 사회적, 경제적 등 다양한 방면에서 혼란을 야기하였으며, 해당 이슈를 이용한 랜섬웨어 공격도 발견되었습니다.

HermeticRansom 랜섬웨어는 우크라이나 시스템을 노린 타깃형 공격에 사용된 랜섬웨어로, 해당 랜섬웨어는 일반적인 랜섬웨어처럼 금전 갈취가 아닌 와이퍼 공격의 미끼 역할을 주 목적으로 하고 있습니다. 하지만 얼마 지나지 않아 Avast에서 해당 랜섬웨어의 복호화툴을 개발하여 무료로 제공하였습니다.

또한 러시아를 타깃으로 하는 랜섬웨어가 발견되었는데, 일반 랜섬웨어와 다르게 랜섬머니를 요구하지 않으며, 대신 전쟁을 멈추라는 메시지를 띄웁니다.

우크라이나 연구원이 Conti 랜섬웨어의 소스코드를 포함한 정보를 유출시켰습니다. 이는 Conti 랜섬웨어가 우크라이나를 공격하는 러시아 정부를 지지한다는 공지를 띄운 것에 대한 보복으로 추측되고 있습니다.
 
비너스락커 조직의 활동도 활발히 이어지고 있습니다.
2017년도부터 국내에 지속적으로 랜섬웨어를 유포하고 있는 비너스락커 조직은 최근에도 이력서, 저작권 위반 등의 내용을 통하여 국내에 꾸준히 랜섬웨어를 유포 중에 있습니다. 최근에는 꾸준히 Makop 랜섬웨어를 유포하다 처음으로 LockBit 랜섬웨어를 유포한 정황도 확인되었습니다. 
 
타이포스쿼팅 방식을 이용한 매그니베르 랜섬웨어의 유포 정황도 다시 확인되었습니다. 매그니베르 랜섬웨어는 크롬 및 엣지 브라우저 사용자를 대상으로 사용자의 도메인 주소 오입력 혹은 철자가 틀리는 경우를 악용한 타이포스쿼팅 방식을 이용하여 유포 중이며, 사용자가 잘못된 도메인 주소를 입력하면 다른 페이지로 리디렉션 시켜 최종적으로 msi 파일을 내려줍니다. 만일 사용자가 해당 파일을 실행할 경우, 최종적으로 매그니베르 랜섬웨어에 감염됩니다.
 
글로벌 기업들의 랜섬웨어 피해도 지속되고 있습니다. 명품 의류 브랜드인 몽클레르는 21년 12월  AlphV/BlackCat 랜섬웨어의 공격을 받아 데이터가 유출되었으며, 21년 1월 중순 Tor 네트워크 내 유출된 데이터가 공개되었습니다. 항공 서비스 회사인 Swissport International이 랜섬웨어의 공격을 받아 일부 항공편이 지연되었으며, Nvidia 역시 랜섬웨어의 공격을 받아 일부 시스템이 영향을 받은 것으로 확인되었습니다. 
 
이 밖에 ESRC에서 선정한 2022년 1분기 새로 발견되었거나 주목할만한 랜섬웨어는 다음과 같습니다.

랜섬웨어 유포 케이스의 대다수는 이메일 형태지만, 코로나19 바이러스 확산 방지를 위해 재택근무를 수행하는 임직원이 증가함에 따라 기업 내부망 접속을 위해 사용되는 재택 근무 단말기 OS/SW 보안 업데이트 점검을 의무화하고 임직원 보안 인식 교육도 병행해야 합니다.

이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해, 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.

참고 : 

2021년 4분기 알약 랜섬웨어 행위기반 차단 건수: 163,229건! 지속 증가 추이 보임