2018년 3분기 샘플건수는 2분기 대비 17.7% 증가 하였고 감염 리포트 건수는 63.3% 감소 하였다. 샘플건수 증가 원인은 리포트 건수가 적어 ‘기타’ 로 분류된 랜섬웨어군 샘플 증가가 원인 이였다. 좀더 들여다 보면 새로운 랜섬웨어가 갑자기 증가 한 것은 아니며 Nabucur 랜섬웨어 같이 바이러스 증상을 갖는 유형이 만들어낸 변형이 증가 하거나 별다른 진단명이 부여 되지 않는 랜섬웨어 유형 (Ransom, FileCoder 진단명) 변형이 증가한 것이 원인 이였다. 또한 ‘기타’로 분류된 랜섬웨어군에는 이번 분기에 새로이 발견된 랜섬웨어도 포함 (Ryukran, KrakenCryptor 등) 되었다. 역시 리포트 건수는 매우 적었고 특정 사건과 연관이 되거나 기존 랜섬웨어등에서는 보이지 않았던 피해 증상등이 (파일 삭제 프로그램을 추가 다운로드 하여 실행) 기사화 되어 언론에서 잠시 주목을 받았다.


리포트 건수 감소 원인은 매해 3분기는 여름휴가 및 추석연휴와 같은 특수로 인하여 2분기 대비 감소하는 추세를 보인다. 특히 올해 3분기는 큰 폭으로 감소 하였고 계절적인 특수 이외에도 랜섬웨어 행위를 탐지하는 룰들의 행위 차단 건수가 이번 분기 79,437건으로 확인 되어 이전 분기 대비 49.4% 상승 하였다. 따라서 행위기반 탐지에 의한 사전차단 효과로 리포트 건수가 감소한 원인으로도 파악 되었다.


[그림1] 2017.01 ~ 2018.09 랜섬웨어 통계 (샘플 및 감염 리포트 건수)



3분기에도 가장 많은 샘플 및 리포트 건수를 차지하는 랜섬웨어는 GandCrab 으로 확인되었다. GandCrab 은 유포시 IP 를 확인하여 우리나라를 대상으로는 V3Lite 를 포함한 보안제품을 제거 하는 악의적인 기능이 추가로 포함된 스크립트 파일을 다운로드 하는 것이 처음 확인 되기도 했다. 또한 안랩은 이번 분기 GandCrab 의 다양한 형태를 대응 하였는데 그 자세한 이야기는 다음 링크를 참조 하기 바란다. 


à asec.ahnlab.com/category/악성코드 정보


참고로 GandCrab 의 샘플과 리포트 건수는 지난 4월과 5월 정점을 찍은 뒤 그 이후 모두 감소 추세에 있지만 제작자는 블랙마켓에 9월말 최신버전을 공개하며 지속적인 활동을 예고 했다. 한편 본 글을 작성하는 10월말 현재 BitDefender 사에서 GandCrab V1, V4 ~ V5 에 대한 복호화 도구를 공개 하였다. à https://labs.bitdefender.com/2018/10/gandcrab-ransomware-decryption-tool-available-for-free/

이후 제작자는 복호화 도구가 공개 되고 몇 일 지나지 않아서 해당 도구에서 복호화 할 수 없는 변형을 제작, 유포 하였다.


[그림2] 2018.01 ~ 2018.09 GandCrab 샘플 및 감염 리포트 추세


1분기 랜섬웨어 동향 글에서도 언급 했던 것처럼 랜섬웨어 제작/유포/타켓은 크게 2가지로 나눠진다. GandCrab 처럼 RaaS (Ransomware-as-a-Service) 형태 (범용)와 9월말 국내에 또다시 불거진 웹 호스팅 업체의 서버를 대상으로 한 랜섬웨어 공격 형태 (타켓)이다. 특히 타켓 형태의 경우 국내와 국외의 상황이 조금 다른데 국외의 경우 주로 공공기관 또는 민간기업등이 대상이 되고 있다.


다음은 3분기 랜섬웨어 샘플수량에 대한 Top10 비율이다.


[그림3] 2018년 3분기 랜섬웨어 Top 10 샘플 비율



지난 분기와 같이 GandCrab 이 가장 많은 샘플비율을 차지 하고 있다. 그 뒤를 이어서 RansomCrypt 와 Magniber 가 있다. Magniber 의 비율이 상반기 대비 줄어든 것으로 (상반기 28%) 보인다. 하지만 Fileless 형태로 감염 형태를 전환하였기 때문에 샘플 수가 줄었다고 하여 안심 할 수 없다. 위에서 언급한 것처럼 랜섬웨어 행위 차단 건수는 직전 분기 대비 49.4% 상승한 만큼 은밀하고 보이지 않게 취약한 시스템을 노리고 있다는 점을 명심해야 한다. (끝)

Posted by 분석연구팀