[디지털데일리 이종현기자] 이스트시큐리티는 자사 백신 프로그램 ‘알약’에 탑재돼 있는 랜섬웨어 행위기반 사전 차단 기능을 통해 2분기 동안 총 4만3645건의 랜섬웨어 공격을 차단했다고 5일 밝혔다. 일평균 485건의 랜섬웨어 공격이 차단됐다.

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 랜섬웨어 행위기반 사전 차단 기능을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지 건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상된다.

이스트시큐리티는 2023년 2분기 랜섬웨어 주요 동향으로 ▲바북(babuk) 랜섬웨어 소스코드를 이용한 랜섬웨어 변종의 대거 등장 ▲암호화 속도가 가장 빠른 로르샤흐(Rorschach) 랜섬웨어 등장 ▲윈도우, 리눅스 및 맥OS를 모두 감염시킬 수 있는 새로운 랜섬웨어 ▲랜섬웨어 공격방식의 지속적 진화 ▲중소기업만 노리는 랜섬웨어인 에잇베이스(8base) 랜섬웨어의 활동 급증 등을 꼽았다.

바북록커 랜섬웨어는 2021년1월 처음 등장한 기업용 랜섬웨어로, 피해자에 따라 고유 확장자, 랜섬노트, 토르(Tor) 인터넷주소(URL) 등을 달리한 데 더해 이중 갈취 전략을 사용하며 활발한 활동을 이어 나갔다. 하지만 2021년6월 바북록커의 랜섬웨어 빌더가 온라인에 유출됐고 2022년 하반기부터 이를 이용한 변종들이 대거 발견되기 시작했다. 2023년4월 처음 발견된 라그룹(RA Group) 랜섬웨어도 바북록커 랜섬웨어의 유출 코드를 활용해 제작됐따.

라그룹 랜섬웨어는 2023년4월 다크웹 데이터 유출 사이트를 개설하며 외부에 공개됐다. 주로 미국과 한국의 제조, 자산관리, 보험, 제약 등 사업 분야를 타깃으로 삼았다. 국내 제약회사가 해당 랜섬웨어로 인해 내부 정보 유출 피해를 겪었다.

이스트시큐리티는 기존의 랜섬웨어 중 가장 암호화 속도가 빨랐던 록빗(Lockbit) 3.0 랜섬웨어대비 2배가량 빠른 로르샤흐(Rorschach)라는 새로운 랜섬웨어가 발견됐다고도 전했다. 2023년4월 처음 발견된 로르샤흐는 바북 랜섬웨어 코드를 활용해 제작된 변종이다.

윈도, 리눅스 및 맥OS 등 복수 운영체제(OS)를 모두 감염시킬 수 있는 랜섬웨어도 발견됐다. 서비스형 랜섬웨어(RaaS) 형태로 제공되는 사이클롭스(Cyclops)는 고(Go) 언어로 작성됐다. 비대칭 암호화 및 대칭 암호화가 혼합된 암호 알고리즘을 사용한다. 윈도 및 리눅스 시스템을 대상으로 설계돼 OS 정보, 컴퓨터 이름, 특정 확장자와 일치하는 파일 등 세부정보를 캡처하고 특정 확장자 파일에 대해서는 수집해 원격 서버로 저장한다.

랜섬웨어의 공격 방식도 변화도 감지됐다. 블랙캣(BlackCat) 랜섬웨어는 최근 보안 SW의 탐지를 피하기 위해 서명된 악성 윈도 커널 드라이버를 사용하는 것이 포착됐다. 분석 결과 악성 윈도우 커널 드라이버는 22년 말 랜섬웨어 공격에 사용된 푸어트리(POORTRY) 악성코드의 업데이트 버전이다.

한편 이스트시큐리티는 한국인터넷진흥원(KISA)에게 수집한 랜섬웨어 정보를 제공하는 등 협력을 이어가고 있다.