최초 RaaS 락빗, 쇠퇴 길 들어서…3AM 그룹 새로 등장
[데이터넷] 이스트시큐리티(대표 정진일)는 2023년 3분기 자사 백신 프로그램 ‘알약’에 탑재돼 있는 ‘랜섬웨어 행위 기반 사전 차단’기능을 통해 41만65건의 랜섬웨어 공격을 차단했다고 26일 밝혔다.
이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램의 ‘랜섬웨어 행위 기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지 건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상된다.
2023년 3분기 알약을 통해 차단된 랜섬웨어 공격은 4만1065건으로, 이를 일간 기준으로 환산하면 일 평균 446건의 랜섬웨어 공격이 차단된 것으로 볼 수 있다.
클롭 공급망 공격 사례, 다른 공격자도 모방할 것
이스트시큐리티는 2023년 3분기 랜섬웨어 주요 동향으로 ▲클롭(Clop) 랜섬웨어 조직, 무브잇(MOVEit) 취약점을 이용한 공격 지속 ▲3AM 랜섬웨어 등장 ▲VM웨어 ESXi 서버를 타깃으로 한 랜섬웨어 공격의 지속 ▲락빗(LockBit) 랜섬웨어의 쇠퇴로 선정했다.
클롭 그룹은 3분기에도 제로데이 취약점과 공급망 공격을 계속 이어갔다. 무브잇 트랜스퍼(MOVEit Transfer)의 패치가 빠르게 이뤄지고 있지만, 클롭은 패치되지 않은 무브잇 취약점을 이용해 지속적으로 공격하고 있다. 이 공격으로 인해 500여개의 조직과 3500만명 피해를 입은 것으로 확인되었으며, 이를 통해 약 1억달러 이상의 수익을 거두었을 것으로 예상된다.
클롭 랜섬웨어 그룹은 이번 공급망 취약점을 이용해 큰 성공을 이뤘으며, 이러한 점을 모방해 다른 랜섬웨어 조직들도 새로운 공급망 취약점을 찾아 공격에 활용할 가능성이 높아질 것으로 예상되는 만큼 기업 보안담당자들은 사내에서 사용하는 소프트웨어의 버전을 항상 최신으로 유지하는 것이 안전하다.
새로 발견된 3AM 랜섬웨어어는 러스트(Rust) 언어로 작성됐으며 기존에 알려진 랜섬웨어 제품군과 관련 없는 새로운 랜섬웨어 계열로 추정되고 있다. 특이한 점은 공격자들이 락빗 랜섬웨어 배포 시도 후 실패할 경우 3AM 랜섬웨어를 배포한다는 것이다.
3AM 랜섬웨어는 파일을 암호화하기 전, 다양한 보안·백업 제품 등 여러 서비스를 중지하려고 시도하며, 암호화 완료 후에는 볼륨 섀도 복사본 삭제를 시도한다. 랜섬 행위 외에 코발트 스트라이크(Cobalt Strike) 구성 요소를 실행하고 PsExec을 사용해 시스템 권한 상승을 시도한다. 파일 암호화 이후 확장자를 .threeamtime으로 변경해 3AM 랜섬웨어로 명명됐다.
단일 공격에서 두 종류의 랜섬웨어를 유포하는 것이 처음 발견된 것은 아니지만, 현재 제일 활발하게 공격을 진행중인 락빗 랜섬웨어 공격의 대체 수단으로 사용됐다는 점만으로도 충분히 주목할 만하다. 향후 3AM 랜섬웨어가 독립적으로 공격을 진행하는 방향으로 진화할 지는 지켜볼 필요가 있다.
VM웨어 ESXi를 타깃으로 하는 랜섬웨어 공격도 지속됐다. 많은 기업들이 더 나은 성능 및 리소스 관리를 위해 가상화 환경을 구축하는 추세로, VM웨어 ESXi는 가장 인기있는 가상머신 플랫폼 중 하나다.
몬티(Monti) 랜섬웨어는 2022년 6월 처음 발견됐으며, 의도적으로 콘티(Conti) 랜섬웨어를 모방한 이름과 공격 기법을 사용했으며, 콘티의 유출된 소스코드를 사용하기도 했다. 2023년 8월 새로운 리눅스 기반의 랜섬웨어를 공개했는데, 기존에 유출된 콘티의 소스코드를 기반으로 제작된 이전 버전과는 달리 새로운 버전은 다른 암호화 방식을 사용하며, 파일 크기를 기준으로 암호화 할 파일을 선정하는 것으로 확인됐다. 암호화 후에는 파일 확장자를 .monti로 변경한다.
2023년 3월에 등장한 아비스 락커(Abyss Locker)의 리눅스 버전이 VM웨어 ESXi 서버를 타깃으로 공격을 진행중인 것이 확인됐다. 이들은 랜섬머니를 지불하지 않을 시 Abyss-data라는 토르 사이트에 데이터를 유출한다. 분석결과 VM웨어 ESXi 관리툴 명령어인 ‘esxcli’를 이용해 사용 가능한 가상머신들을 모두 종료하는 것을 보아 해당 랜섬웨어가 VM웨어 ESXi 서버를 공격 대상으로 하고 있다는 점을 알 수 있다.
한편 락빗 랜섬웨어가 쇠퇴의 길로 들어서는 것으로 추정되고 있다. 락빗 랜섬웨어는 2020년 처음 등장한 RaaS 랜섬웨어로, 등장 이후부터 락빗 랜섬웨어는 최근까지 활발한 공격 활동을 벌였다. 22년 9월 22일, 락빗 3.0 빌더가 유출되었고, 이렇게 유출된 빌더의 소스코드는 다른 랜섬웨어 조직들에게 악용돼 다양한 변종을 제작하는데 사용됐다.
최근 한 보안전문가 블로그에 따르면, 락빗 데이터 유출 사이트에 심각한 버그가 있으며 일부 협력사들이 이러한 버그를 눈치채고 이미 락빗을 떠났다고 밝혔다. 또한 락빗의 새로운 버전의 출시가 늦어지는 것도 락빗의 협력사들이 갖는 불만 중 하나이며, 락빗 랜섬웨어 조직 역시 서비스에 이러한 버그가 있는 것을 인지하고 수정하고자 노력하고 있지만 어려움이 있는 것으로 추정된다고 밝혔다.
락빗 랜섬웨어가 이러한 어려움을 딛고 다시 명성을 되찾을 것인지, 아니면 이렇게 쇠퇴의 길로 들어설 것인지 향후 행보에 관심이 쏟아지고 있다.
