3분기 랜섬웨어 위협에는 큰 변화가 있었다. 그 변화는 8월초쯤 시작 되어 9월말에 이르러서 확연히 우리 눈 앞에 보여지게 되었다. 그 변화는 가장 많이 보고 되는 Cerber 랜섬웨어의 위협이 약화를 거듭하여 오랜 기간 동안 발견 되고 있지 않다는 것이다. Cerber 는 9월 4주차가 끝나갈 무렵부터 이 글을 작성하는 3주 후까지도 보고 되지 않았다. Cerber 위협이 완전이 끝났다고는 생각 되지 않으며 활동을 중단 한 것일 수도 있다. 다른 악성코드도 그랬듯이 랜섬웨어 역시 홀연히 자취를 감추었다가 다시 활발히 활동 하는 경우가 자주 목격 되는데 대표적으로 Locky 랜섬웨어가 그 중 하나이다.
[그림1] 2017년 3분기 랜섬웨어 통계 (샘플 및 감염보고 건수)
위 그래프에서 3분기 랜섬웨어 중 9월 샘플과 리포트 수량 모두 크게 감소 한 것으로 나타났다.
샘플은 전월 대비 68% 감소, 리포트 수는 36% 감소 하였다. 안랩은 2017년 3분 기준 약 150개 종류의 랜섬웨어를 모니터링 하고 있으며 이는 2분기 대비 40종 이상 증가 하였다. 이중 기타 (Etc) 로 분류한 84 종류의 랜섬웨어군의 샘플수량이 전월 대비 약 95% 정도로 매우 크게 감소 한 것이 큰 원인으로 확인 되었다. 해당 랜섬웨어군은 샘플수량대비 감염보고가 적은 것이 특징으로 따라서 크게 위협이 되지 않는 랜섬웨어군이다.
또한, 앞서 언급한 것처럼 Cerber 의 활동이 중단된 영향도 한 몫을 했다. Cerber 샘플은 8월 대비 9월
에 43% 감소 하였고 감염보고수는 55% 감소 하였다. 그리고 2분기와 달리 WannaCryptor 와 Petya 같
은 세간의 이슈를 끌만 한 랜섬웨어들이 발견 되지 않는 점도 있다.
반면, 다시 활발히 활동하는 랜섬웨어도 있는데 Locky 가 7월부터 꾸준히 샘플과 감염수가 증가 하고
있음을 알 수 있다. 다음 [그림2] 그래프를 통해서 Cerber 와 Locky 의 추세를 확인해 보았다.
Categories:악성코드 정보