워너크라이 이후 랜섬웨어가 기업에게 대규모 피해를 입히기 위한 목적으로 바뀌고 있다. 카스퍼스키랩은 워너크라이, 엑스페트야, 배드래빗의 예를 들며, 기업 네트워크를 침해할 목적으로 설계된 익스플로잇을 이용해 랜섬웨어 공격이 진행되고 있다고 1일 밝혔다.
카스퍼스키랩이 조사한 바에 따르면 기업 타깃 랜섬웨어 공격이 지난해 22.6%에서 올해 26.2%로 증가했으며, 지능적인 해킹 조직이 웜 기능을 이용해 전 세계 기업을 상대로 목적이 불분명한 파괴적 랜섬웨어 공격을 단행하고 있다고 설명했다.
반면 랜섬웨어 피해자는 지난해 150만명에서 올해 95만명으로 줄어들었으며, 랜섬웨어 탐지 기술이 발전하면서 신변종 공격이 선제 차단되기 때문이라고 카스퍼스키랩은 분석했다. 랜섬웨어 악성 코드와 관련된 다운로더는 휴리스틱 기술로 탐지된다고 설명했다.
랜섬웨어 탐지 기술 발전…신종↓ 변종↑
신종 랜섬웨어 역시 크게 줄어들었는데, 지난해 발견된 것이 62종 올해는 38종이 발견됐다. 대신 기존 랜섬웨어의 변종은 지난해 5만4000종, 올해 9만6000종으로 크게 늘어났다. 보안 솔루션 탐지 기능이 향상되면서 기존 랜섬웨어도 까다롭게 진화됐기 때문이라고 분석된다.
랜섬웨어 탐지 기술이 진보하면서 해킹집단들은 기존 랜섬웨어 활동을 종료하고 파일 복호화에 필요한 키를 공개하고 있다다. 2분기 이후 공개된 키는 AES-NI, 엑스데이타(xdata), 페트야/미샤/골든아이(Petya/Mischa/GoldenEye), 크라이시스(Crysis) 등이다. 그러나 크라이시스는 나중에 다른 해킹 집단이 부활시켜 다시 등장했다.
원격 데스크톱 시스템을 통한 기업 감염의 증가세는 2017년에도 계속됐다. 이러한 공격 방식은 크라이시스, 퍼젠/글로브임포터(Purgen/GlobeImposter), 크라이어클(Cryakl) 등 폭넓게 사용되는 여러 악성 코드군의 주요 유포 방법 중 하나가 됐다.
랜섬웨어 공격 받은 기업 65%
2017년에 랜섬웨어 공격을 받은 기업은 65%에 달하며 전체 데이터 또는 상당한 양의 데이터에 접근할 수 없게 됐다. 대가를 지불한 기업 중 1/6은 데이터를 되찾지 못했다. 이러한 수치는 2016년과 대체로 비슷한 수치이다.
다행히 2016년 7월 시작된 노모어랜섬 프로젝트의 활동이 점점 더 활발해지고 있다. 이 프로젝트는 사법기관과 보안업체가 손잡고 대규모 랜섬웨어군을 추적 및 퇴치하며, 개인이 데이터를 되찾을 수 있도록 돕고 수익성 높은 범죄 사업 모델에 타격을 가하고 있다.
모든 카스퍼스키랩 제품은 랜섬웨어로부터 사용자를 보호한다. 제품에는 랜섬웨어 악성 코드로 인한 기기 변경을 방지하고 감염을 이전 상태로 롤백시키는 시스템 감시기 기술이 추가로 포함되어 있다. 또한 현재 기업이 보안 소프트웨어의 제조사와 관계없이 모든 기업이 무료로 안티 랜섬웨어 도구를 사용할 수 있다.
