[데이터넷] 랜섬웨어 공격 그룹 중 가장 악명을 떨치고 있는 콘티(Conti)는 주로 중소기업을 표적으로 하고 있으며, 중요 인프라와 공급망을 공격하고 있는 것으로 나타났다.
아카마이 연구에 따르면 서비스형 랜섬웨어(RaaS)가 맹위를 떨치고 있으며, 그 중 콘티 그룹이 활발하게 활동하고 있다. 콘티 공격의 60%는 미국 기업을 표적으로 하고 있으며, 30%는 유럽연합(EU)에서 발생했다. 공격 표적이 된 업종은 공급망 중단, 중요 인프라 위협, 공급망 사이버 공격 등이었으며, 매출 1000만~2억5000만달러의 중소기업을 표적으로 하고 있다.
콘티의 전술, 기법, 절차(TTP)는 이미 잘 알려져 있지만 성공률이 매우 높아 다른 해커들도 활용할 수 있다. 문서에서 암호화보다 해킹과 직접 전파를 강조하기 때문에 네트워크 방어자들은 암호화 단계에 집중하는 대신 킬 체인에 집중해야 한다.
아카마이는 웹 애플리케이션과 API 위협에 대해서도 분석했으며, 올해 상반기 90억건 이상 공격 시도가 발견됐다고 설명했다. 이는 전년동기 대비 3배 이상 증가한 것으로, 아카마이 관측 이해 최대 증가율이다. 가장 많이 사용하는 웹 애플리케이션·API 공격은 로컬 파일 인클루전(LFI)으로, 상반기에만 전년 동기 대비 4배 가까이 증가했다.
공격을 가장 많이 받은 산업은 커머스 분야로, 공격 활동의 38%를 차지했다. 또한 기술 분야는 2022년 현재까지 공격이 가장 많이 증가한 업종이었다.
아카마이는 매일 7조건 이상 DNS 쿼리를 분석, 멀웨어, 랜섬웨어 피싱, 봇넷을 비롯한 위협을 사전에 탐지·차단하고 있다. 아카마이가 탐지한 악성 DNS 트래픽을 분석하면 디바이스 10대 중 1대 이상이 멀웨어, 랜섬웨어, 피싱 또는 C2와 연결된 도메인에 최소 한 번 이상 통신한 것으로 나타났다.
피싱 트래픽에 따르면 대부분의 피해자가 기술 및 금융 브랜드를 악용하고 모방하는 사기의 표적이 되었으며, 그 비율은 각각 31%와 32%였다. 멀웨어 드롭퍼, 피싱 페이지, 사기범 및 암호화폐 채굴자의 멀웨어 같은 위협을 나타내는 1만개 이상의 악성 자바 스크립트 샘플을 분석한 연구에 따르면, 조사된 샘플 중 최소 25%가 탐지를 피하고자 자바 스크립트 난독화 기술을 사용했다.
