지니언스 기술 블로그

고도화되는 서비스형 랜섬웨어(RaaS) 그 특징과 대응방안

Written by Genians | Feb 2, 2023 9:44:00 AM

KARA는 지난 3개월 간의 랜섬웨어 트렌드 분석과 주요 랜섬웨어 별 특징과 대응방안을 담은 보고서를 발간했습니다. 특히 데이터 파괴형 랜섬웨어 'BlackCat'과 데이터베이스 타겟형 랜섬웨어 'Masscan' 의 특징에 대해 상세히 분석하고 있습니다 (전문 보기 아래 링크)

KARA는 SK쉴더스의 주도로 구성된 랜섬웨어 대응 민간 협의체 입니다. 각 분야 전문 기업들이 랜섬웨어 최신 트렌드 및 피해 실태와 관련한 정기적인 정보를 공유하며 사고 접수와 대응, 복구, 대책까지 원스톱으로 대응하는 프로세스를 제공하고 있습니다.

지니언스㈜는 KARA의 공식 회원사로 활동하고 있으며 랜섬웨어로부터 단말(PC 등)을 보호하는 EDR 솔루션, Genian EDR을 공급하고 있습니다. 이외에도 ‘트렌드마이크로, 에스투더블유(S2W), 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우’ 등이 회원사로 참여하고 있습니다.

 


1. 서비스형 랜섬웨어(RaaS)의 고도화된 공격 늘어나

최근 랜섬웨어는 Ransomware-as-a-Service(RaaS) 발전으로 세분화되고 조직화되어 활동을 하는 Lockbit, Royal, BlackCat(Alphv), Bianlian, BlackBasta와 같은 대형 그룹들이 가장 많은 활동과 피해를 입히고 있습니다. 이들 그룹은 서비스형 랜섬웨어로 다양한 공격자에 의해 하나의 수익 모델로 사용되어 끊임없는 공격을 수행하고 있습니다. 

이들은 안정적인 수익을 위해 다양한 전략을 보이며, 수준 높은 해킹기술을 이용해 탐지를 회피합니다. 또한 정찰 단계와 공격 침투 전략을 수립하는데도 상당한 공을 들이고 있습니다.

치밀하게 계획된 침투 전략과 세분화 된 조직을 통한 빠른 공격 수행으로 그 피해는 더욱 늘어나고 있습니다.

최근 3개월간의 랜섬웨어 그룹의 활동을 살펴보면 LockBit 랜섬웨어가 가장 활발한 활동을 보였으며 Royal, BlackCat(Alphv), Bianlian, BlackBasta 랜섬웨어 순으로 랜섬웨어에 공격당한 피해자를 확인할 수 있습니다. 이들 상위 그룹의 랜섬웨어는 모두 RaaS 형태입니다.

산업별로는 제조/서비스 환경에서 지속적으로 랜섬웨어 공격이 일어나고 있습니다. 또한 IT, 유통, 의료 관련 산업에 대한 공격도 많은 것으로 확인됩니다.

 

랜섬웨어 그룹별 활동 및 산업별 랜섬웨어 피해

 


2. 데이터 파괴형 랜섬웨어 - BlackCat 

BlackCat 랜섬웨어는 Alphv 랜섬웨어 그룹에서 사용하고 있는 최신 버전의 랜섬웨어이며, 서비스형 랜섬웨어(Raas) 입니다. 자체 제작한 Fendr 혹은 ExMatter 로 불리는 정보 유출 툴을 꾸준히 업데이트하며 실제 공격에 사용하고 있습니다. 특히 2022 년 8 월 ExMatter에 파일 및 정보 를 유출한 뒤 파일을 파괴하는 형태의 기능이 확인되었습니다. 파일 암호화가 아닌 파일을 파괴하는 형태는 새로운 전략이라고 볼 수 있습니다.

암호화 알고리즘을 제외하고 데이터 파괴형으로 변화할 경우 공격 그룹은 새로운 모델과 전략을 수행할 수 있으며 기존에 존재하던 여러 위험 요소를 제거할 수 있게 됩니다. 암호화 방식을 사용하지 않음으로써 조직화된 랜섬웨어 그룹의 구조가 변할 수 있어 변화의 움직임에 관심을 기울이고 살펴볼 필요가 있습니다.


3. 데이터베이스 타겟형 랜섬웨어- Masscan

취약한 데이터베이스를 노린 랜섬웨어 공격은 매년 크고 작은 사고가 발생하고 있습니다. 웹서버나 PC에 대한 공격보다 피해 규모가 커 더욱 주의가 필요합니다. 취약한 데이터베이스를 선정하여 공격하는 경우는  공격자 입장에서 손쉽게 침투할 수 있어 꾸준히 공격 방법으로 이용되고 있습니다.

취약한 MS-SQL 서버를 노리는 Masscan 랜섬웨어는 2022년 6월 국내에서 첫 발견된 랜섬웨어로 해외에서 발견된 사례는 없어 국내의 취약한 데이터베이스 서버를 대상으로 타겟형 공격을 시도한 것으로 확인되고 있습니다.

Masscan 랜섬웨어에 감염된 피해 기업은 수십 건으로 확인되고 있으며 제약, 바이오 등 다양한 업종에서 감염 사례가 발생하고 있습니다. 업종에 관계없이 외부에 노출된 취약한 데이터베이스 서버를 보유한 기업을 선정하여 공격을 수행합니다.

2022년 7월에는 콜택시 서버 운영 업체의 랜섬웨어 감염으로 강원, 부산, 대전 등의 약18개 시, 군 지역에서 택시 호출 서비스가 중단되었으며 피해가 급증하여 공격자에게 비용을 지불하여 복구 한 사례가 있습니다.


4. 랜섬웨어에 대한 단계별 보안 필요

kara는 이러한 피해를 예방하기 위해 타겟형 APT 공격에 대한 대비와 침입에 대한 각 단계별 적절한 보안 요소 및 프로세스를 마련하여 공격자 그룹이 목표를 달성하기 전에 탐지하고 차단할 것을 권고하고 있습니다.

특히 지니언스의 Genian EDR은 최근 EDR 솔루션에 안티 랜섬웨어(Anti-Ransomeware) 기능을 추가해 랜섬웨어 대응 기능을 강화했습니다. 단순 랜섬웨어의 차단과 피해 파일 복구뿐 아니라 EDR을 통한 유입경로, 정보유출 등 추가적인 피해상황에 대한 가시성을 통합하여 제공합니다.

 

 

민간 랜섬웨어 대응협의체, KARA

KARA는 24시간 365일 대응 가능한 ‘랜섬웨어 대응 센터(1600-7028, kara@sk.com)’를 운영 중에 있으며 랜섬웨어 공격 단계에 따라 ‘랜섬웨어 위협 사전 점검’, ‘실시간 침입 탐지 및 차단 체계 구축’, ‘랜섬웨어 사고 대응 및 복구’ 서비스를 제공하고 있습니다.

특히 자체 랜섬웨어 위협 진단 Tool을 보유하고 있어 PC나 서버가 랜섬웨어에 노출되어 있는지 쉽고 빠르게 점검이 가능합니다. 해킹 사고 발생 시 대응 프로세스에 따라 KARA 회원사와 함께 ‘원인 분석, 솔루션 도입, 피해 복구, 법적 대응, 보험 가입’ 등의 원스톱 서비스를 기업 환경에 맞춤형으로 지원합니다

 

 

지니언스 뉴스레터를 구독하시면 매달 새로운 보안 컨텐츠를 보내드립니다!