2024년 4월 랜섬웨어 동향 보고서
목적 및 범위
이 보고서는 2024년 4월 한 달 동안 수집된 신규 랜섬웨어 샘플 수량, 피해 시스템 수량, 피해 업체에 대한 통계와 참고할 만한 국내/외 주요 랜섬웨어 이슈를 제공한다. 본 보고서에서 언급하지 않은 랜섬웨어 관련 주요 이슈 및 랜섬웨어별 통계 정보는 AhnLab TIP (Threat Intelligence Platform, 이후 ATIP 으로 언급함) 에서 아래와 같은 키워드 검색과 통계 메뉴를 통해 추가로 확인 가능하다.
l Ransomware
l 랜섬웨어
l 악성코드 유형별 현황
랜섬웨어 샘플 수량 및 피해 시스템 수량 통계는 안랩에서 부여한 진단명을 기준으로 사용했으며, 랜섬웨어 피해 업체 통계는 랜섬웨어 그룹의 DLS (Dedicated Leaks Sites, 랜섬웨어 PR 사이트 또는 PR 페이지로 언급되는 것과 같음)에 공개된 정보를 ATIP 인프라에서 수집한 시간을 기준으로 사용했음을 미리 밝힌다.
주요 통계
1) 데이터 출처 및 수집 방법
ATIP 는 내부 인프라를 통해 다음과 같은 랜섬웨어 정보의 모니터링 및 분석을 진행하고 있다.
l ASD (AhnLab Smart Defense) 기반 악성 파일 및 행위의 수집/진단 목록
l 랜섬웨어 그룹의 DLS (Dedicated Leaks Sites) 에 게시된 피해 업체 수집 목록
랜섬웨어 신규 샘플 수량 및 피해 시스템 통계에서 사용되는 기준은 안랩에서 부여한 진단명이다. 다음과 같이 악성 파일 및 의심 행위 탐지시 부여된 진단명의 카테고리가 Ransomware/ 또는 Ransom/ 으로 분류되는 경우로 한정한다.
l Ransomware/Win.Magniber : 파일 진단명 예시
l Ransom/MDP.Magniber : 행위 진단명 예시
또한 탐지 시점에 획득한 진단명이 Generic, Agent, Edit, Decoy, … 와 같이 특정 랜섬웨어 유형을 식별할 수 없거나, 미탐지 또는 탐지 시점 이후 진단명 변경 등으로 랜섬웨어 통계에서 제외되거나 다른 랜섬웨어 유형으로 변경되어 집계될 수 있다.
랜섬웨어 피해 업체 통계는 랜섬웨어 그룹이 피해 업체를 공개하여 압박하는 용도로 운영하는 DLS (Dedicated Leaks Sites) 페이지를 주기적으로 모니터링하여 축적한 데이터를 기반으로 정리한 수치이다. DLS 페이지가 접속 불가 상태이거나 수집 시점이 늦은 경우에는 통계에서 제외되거나 정확한 피해 업체의 공개 시점과 다른 시기로 집계될 수 있다.
따라서 본 보고서의 통계는 전반적인 랜섬웨어 샘플 및 피해 시스템의 추이를 살펴보는 용도로 활용하고, 피해 업체 통계를 통해 어떤 랜섬웨어 그룹이 활발한 공격을 진행하고 있는지 등의 전반적인 경향을 이해하고 참고하는 용도로 활용할 것을 제안한다.
2) 랜섬웨어 전체 통계
최근 6개월 동안 수집된 랜섬웨어 신규 샘플 전체 수량은 아래와 같다.
[그림 1] 랜섬웨어 신규 샘플 수량
지난 4월에는 신규 샘플의 수량이 소폭 증가하였다. 이는 3월에 확인된 LockBit 랜섬웨어의 신규샘플 수량이 증가한 것에 기인한다. 4월에 신규 샘플 수량을 구성하는 악성코드에 대해서는 ‘3) 랜섬웨어별 신규 샘플’ 에서 보다 상세히 살펴보고자 한다.
같은 기간의 랜섬웨어 피해 시스템 및 감염에 사용된 랜섬웨어 파일의 중복 데이터를 제거한 후의 전체 수량은 아래와 같다. (편의상 “피해 시스템” 이란 용어를 사용했으나, 좀더 정확하게는 랜섬웨어 파일이나 행위가 탐지된 시스템으로 감염에 노출된 시스템으로 이해한다.)
[그림 2] 랜섬웨어 피해 시스템/파일
4월에 확인된 피해 시스템 통계는 지난 3월과 매우 유사한 양상을 보인다. 2023년 12월 초부터 Magniber 랜섬웨어 감염 시도가 증가하였고, 그 이후 2024년 1분기 내내 비교적 고르게 높은 수치를 보였다.
지난 3월 Magniber 감염 시스템 수는 일평균 약 56개 였으며, 4월도 거의 동일한 수치인 약 60개로 확인되었다. 구체적인 수치는 아래 “[그림 6] 랜섬웨어별 피해 시스템 일별 수량(2024.04)”을 참고한다.
랜섬웨어의 행위 탐지 (MDP) 기반의 피해 시스템 전체 수량 및 차단 리포트 건수는 아래와 같다.
[그림 3] 랜섬웨어 행위 탐지 기반 피해 시스템/리포트
행위 탐지 시스템 통계 또한 전월과 크게 다르지 않는 양상을 보이며, 2024년 3월과 비슷한 수량으로 집계되었다. Magniber 랜섬웨어의 경우 파일의 변종이 발생하거나 유포가 재개된 것은 아니다.
3) 랜섬웨어별 신규 샘플
4월 신규 샘플 수량 865 건을 랜섬웨어별 신규 샘플 수량으로 정리한 통계는 아래와 같다. 샘플 수량 기준 상위 20 건만 제시한다.
[그림 4] 랜섬웨어별 신규 샘플 수량 (2024.04)
4월에 수집된 신규 샘플 수량은 지난 3월과 비교하여 소폭 증가한 수치로 집계되었다. 3월 신규 샘플 수량에서 92개로 2위를 차지했던 LockBit 랜섬웨어의 수량이 약 3배 증가한 것이 주요 원인이다.
3월에 133개의 수량으로 1위를 차지했던 갠드크랩(GandCrab)도 소폭 감소하였으나, 4월 순위에서는 2위로 집계되었다. 갠드크랩은 지난 2018년 초부터 2019년 2분기까지 약 1년이 넘는 긴 시간 동안 활발하게 유포된 랜섬웨어로, 다양한 변종을 통해 전 세계적으로 막대한 피해를 끼쳤다. 하지만 2019년까지만 활동 기록이 확인되고 개발자도 개발중단 계획을 밝힌 바 있어 현재는 자취를 감춘 상태이다. 실제로 지난 4월에 자사(AhnLab) 인프라에 수집된 GandCrab 랜섬웨어도 모두 2018년 4~6월에 제작 및 유포되었던 파일들로 확인되었으며, 변종이 발생하거나 유포가 재개된 것은 아니다.
그 외, 매번 상위 순위권에서 확인되는 Magniber 랜섬웨어도 2021년 8월부터 2023년 6월까지 포 되었던 과거 유형의 샘플로 확인되었다.
