2024년 6월 랜섬웨어 동향 보고서
목적 및 범위
이 보고서는 2024년 6월 한 달 동안 수집된 신규 랜섬웨어 샘플 수량, 피해 시스템 수량, 피해 업체에 대한 통계와 참고할 만한 국내/외 주요 랜섬웨어 이슈를 제공한다. 본 보고서에서 언급하지 않은 랜섬웨어 관련 주요 이슈 및 랜섬웨어별 통계 정보는 AhnLab TIP (Threat Intelligence Platform, 이후 ATIP 으로 언급함) 에서 아래와 같은 키워드 검색과 통계 메뉴를 통해 추가로 확인 가능하다.
l Ransomware
l 랜섬웨어
l 악성코드 유형별 현황
랜섬웨어 샘플 수량 및 피해 시스템 수량 통계는 안랩에서 부여한 진단명을 기준으로 사용했으며, 랜섬웨어 피해 업체 통계는 랜섬웨어 그룹의 DLS (Dedicated Leaks Sites, 랜섬웨어 PR 사이트 또는 PR 페이지로 언급되는 것과 같음)에 공개된 정보를 ATIP 인프라에서 수집한 시간을 기준으로 사용했음을 미리 밝힌다.
주요 통계
1) 데이터 출처 및 수집 방법
ATIP 는 내부 인프라를 통해 다음과 같은 랜섬웨어 정보의 모니터링 및 분석을 진행하고 있다.
l ASD (AhnLab Smart Defense) 기반 악성 파일 및 행위의 수집/진단 목록
l 랜섬웨어 그룹의 DLS (Dedicated Leaks Sites) 에 게시된 피해 업체 수집 목록
랜섬웨어 신규 샘플 수량 및 피해 시스템 통계에서 사용되는 기준은 안랩에서 부여한 진단명이다. 다음과 같이 악성 파일 및 의심 행위 탐지시 부여된 진단명의 카테고리가 Ransomware/ 또는 Ransom/ 으로 분류되는 경우로 한정한다.
l Ransomware/Win.Magniber : 파일 진단명 예시
l Ransom/MDP.Magniber : 행위 진단명 예시
또한 탐지 시점에 획득한 진단명이 Generic, Agent, Edit, Decoy, … 와 같이 특정 랜섬웨어 유형을 식별할 수 없거나, 미탐지 또는 탐지 시점 이후 진단명 변경 등으로 랜섬웨어 통계에서 제외되거나 다른 랜섬웨어 유형으로 변경되어 집계될 수 있다.
랜섬웨어 피해 업체 통계는 랜섬웨어 그룹이 피해 업체를 공개하여 압박하는 용도로 운영하는 DLS (Dedicated Leaks Sites) 페이지를 주기적으로 모니터링하여 축적한 데이터를 기반으로 정리한 수치이다. DLS 페이지가 접속 불가 상태이거나 수집 시점이 늦은 경우에는 통계에서 제외되거나 정확한 피해 업체의 공개 시점과 다른 시기로 집계될 수 있다.
따라서 본 보고서의 통계는 전반적인 랜섬웨어 샘플 및 피해 시스템의 추이를 살펴보는 용도로 활용하고, 피해 업체 통계를 통해 어떤 랜섬웨어 그룹이 활발한 공격을 진행하고 있는지 등의 전반적인 경향을 이해하고 참고하는 용도로 활용할 것을 제안한다.
2) 랜섬웨어 전체 통계
최근 6개월 동안 수집된 랜섬웨어 신규 샘플 전체 수량은 아래와 같다.
[그림 1] 랜섬웨어 신규 샘플 수량
Magniber 랜섬웨어 감염 시도는 2024년 들어서도 비교적 고르게 높은 수치를 보여왔다. 지난 5월 Magniber 감염 시스템 수는 일평균 약 56개 였으며, 6월에도 거의 동일한 수치인 55개로 확인되었다. 구체적인 수치는 아래 “[그림 6] 랜섬웨어별 피해 시스템 일별 수량(2024.05)”을 참고한다.
같은 기간의 랜섬웨어 피해 시스템 및 감염에 사용된 랜섬웨어 파일의 중복 데이터를 제거한 후의 전체 수량은 아래와 같다. (편의상 “피해 시스템” 이란 용어를 사용했으나, 좀더 정확하게는 랜섬웨어 파일이나 행위가 탐지된 시스템으로 감염에 노출된 시스템으로 이해한다.)
[그림 2] 랜섬웨어 피해 시스템/파일
Magniber 랜섬웨어 감염 시도는 2024년 들어서도 비교적 고르게 높은 수치를 보여왔다. 지난 5월 Magniber 감염 시스템 수는 일평균 약 56개 였으며, 6월에도 거의 동일한 수치인 55개로 확인되었다. 구체적인 수치는 아래 “[그림 6] 랜섬웨어별 피해 시스템 일별 수량(2024.05)”을 참고한다.
랜섬웨어의 행위 탐지 (MDP) 기반의 피해 시스템 전체 수량 및 차단 리포트 건수는 아래와 같다. 행위 탐지 시스템 통계 또한 전월과 크게 다르지 않는 양상을 보였다. Magniber 랜섬웨어의 경우 파일의 변종이 발생하거나 유포가 재개된 것은 아니다.
[그림 3] 랜섬웨어 행위 탐지 기반 피해 시스템/리포트
행위 탐지 시스템 통계 또한 전월과 크게 다르지 않는 양상을 보이며, 2024년 4월과 비슷한 수량으로 집계되었다. Magniber 랜섬웨어의 경우 파일의 변종이 발생하거나 유포가 재개된 것은 아니다.
3) 랜섬웨어별 신규 샘플
6월 신규 샘플 수량 819 건을 랜섬웨어별 신규 샘플 수량으로 정리한 통계는 아래와 같다. 샘플 수량 기준 상위 20 건만 제시한다.
[그림 4] 랜섬웨어별 신규 샘플 수량 (2024.06)
6월에 수집된 신규 샘플 수량은 5월 대비 소폭 감소하였는데, 이는 5월에 1순위(503개)로 집계된 Stop 랜섬웨어(2019년 제작 파일들)가 6월에는 47개로 집계되었기 때문이다. 6월에 1위로 집계된 GandCrab 샘플들은 모두 2018년 2월에 제작되었던 파일들로 확인되며, 변종이 발생하거나 유포가 재개된 것은 아니다.
5월의 상위 20건 순위에는 없었으나, 6월 순위권 내에 등장한 Underground 랜섬웨어의 특징에 대해 간단히 살펴보고자 한다.
