2024년 2월 랜섬웨어 동향 보고서
목적 및 범위
이 보고서는 2024년 2월 한 달 동안 수집된 신규 랜섬웨어 샘플 수량, 피해 시스템 수량, 피해 업체에 대한 통계와 참고할 만한 국내/외 주요 랜섬웨어 이슈를 제공한다. 본 보고서에서 언급하지 않은 랜섬웨어 관련 주요 이슈 및 랜섬웨어별 통계 정보는 AhnLab TIP (Threat Intelligence Platform, 이후 ATIP 으로 언급함) 에서 아래와 같은 키워드 검색과 통계 메뉴를 통해 추가로 확인 가능하다.
l Ransomware
l 랜섬웨어
l 악성코드 유형별 현황
랜섬웨어 샘플 수량 및 피해 시스템 수량 통계는 안랩에서 부여한 진단명을 기준으로 사용했으며, 랜섬웨어 피해 업체 통계는 랜섬웨어 그룹의 DLS (Dedicated Leaks Sites, 랜섬웨어 PR 사이트 또는 PR 페이지로 언급되는 것과 같음)에 공개된 정보를 ATIP 인프라에서 수집한 시간을 기준으로 사용했음을 미리 밝힌다.
주요 통계
1) 데이터 출처 및 수집 방법
ATIP 는 내부 인프라를 통해 다음과 같은 랜섬웨어 정보의 모니터링 및 분석을 진행하고 있다.
l ASD (AhnLab Smart Defense) 기반 악성 파일 및 행위의 수집/진단 목록
l 랜섬웨어 그룹의 DLS (Dedicated Leaks Sites) 에 게시된 피해 업체 수집 목록
랜섬웨어 신규 샘플 수량 및 피해 시스템 통계에서 사용되는 기준은 안랩에서 부여한 진단명이다. 다음과 같이 악성 파일 및 의심 행위 탐지시 부여된 진단명의 카테고리가 Ransomware/ 또는 Ransom/ 으로 분류되는 경우로 한정한다.
l Ransomware/Win.Magniber : 파일 진단명 예시
l Ransom/MDP.Magniber : 행위 진단명 예시
또한 탐지 시점에 획득한 진단명이 Generic, Agent, Edit, Decoy, … 와 같이 특정 랜섬웨어 유형을 식별할 수 없거나, 미탐지 또는 탐지 시점 이후 진단명 변경 등으로 랜섬웨어 통계에서 제외되거나 다른 랜섬웨어 유형으로 변경되어 집계될 수 있다.
랜섬웨어 피해 업체 통계는 랜섬웨어 그룹이 피해 업체를 공개하여 압박하는 용도로 운영하는 DLS (Dedicated Leaks Sites) 페이지를 주기적으로 모니터링하여 축적한 데이터를 기반으로 정리한 수치이다. DLS 페이지가 접속 불가 상태이거나 수집 시점이 늦은 경우에는 통계에서 제외되거나 정확한 피해 업체의 공개 시점과 다른 시기로 집계될 수 있다.
따라서 본 보고서의 통계는 전반적인 랜섬웨어 샘플 및 피해 시스템의 추이를 살펴보는 용도로 활용하고, 피해 업체 통계를 통해 어떤 랜섬웨어 그룹이 활발한 공격을 진행하고 있는지 등의 전반적인 경향을 이해하고 참고하는 용도로 활용할 것을 제안한다.
2) 랜섬웨어 전체 통계
최근 6개월 동안 수집된 랜섬웨어 신규 샘플 전체 수량은 아래와 같다.
[그림 1] 랜섬웨어 신규 샘플 수량
지난 1월에 확인된 랜섬웨어 신규 샘플의 증가 추이는 2월에도 동일한 양상을 보였다. 1월에 수집된 랜섬웨어 신규 샘플 수량의 대다수를 차지한 1, 2위는 Babuk, Conti 의 진단명을 가진 랜섬웨어들로 확인된 바 있다. 이번 2월에 수집된 신규 샘플은 동일한 진단명을 갖지만 Conti의 수량이Babuk을 앞선 것을 확인할 수 있었다.
관련 내용은 ‘3) 랜섬웨어별 신규 샘플’ 에서 보다 상세히 살펴볼 예정이지만, 지난 1월과 동일하게 실제로 Conti & Babuk 랜섬웨어로 분류되는 샘플은 아니지만 각 랜섬웨어의 소스코드가 유출되어 제작된 BlackHunt & Abyss 랜섬웨어로 확인되었다.
같은 기간의 랜섬웨어 피해 시스템 및 감염에 사용된 랜섬웨어 파일의 중복 데이터를 제거한 후의 전체 수량은 아래와 같다. (편의상 “피해 시스템” 이란 용어를 사용했으나, 좀더 정확하게는 랜섬웨어 파일이나 행위가 탐지된 시스템으로 감염에 노출된 시스템으로 이해한다.)
[그림 2] 랜섬웨어 피해 시스템/파일
2월에 확인된 피해 시스템 통계는 수치 상으로 증가하지는 않았지만, 여전히 높은 양상을 보였다. 2023년 9~11월에 비교적 낮은 수치를 보인 것과는 달리, 12월 초부터 Magniber 랜섬웨어 감염시도가 증가하였고 2월 내내 비교적 고르게 높은 수치를 보인 것이 그 원인으로 파악되었다. 지난 1월 Magniber 감염 시스템 수는 일평균 약 63개 였으나, 2월은 근소하게 감소한 약 57개로 확인되었다. 구체적인 수치는 아래 “[그림 6] 랜섬웨어별 피해 시스템 일별 수량(2024.02)”을 참고한다.
랜섬웨어의 행위 탐지 (MDP) 기반의 피해 시스템 전체 수량 및 차단 리포트 건수는 아래와 같다.
[그림 3] 랜섬웨어 행위 탐지 기반 피해 시스템/리포트
행위 탐지 시스템 통계는 전월 대비 증가했지만, 2023년 8월의 수량(15,691/48,366)과 비교하면 비슷한 양상을 유지한다고 볼 수 있다. 또한, Magniber 랜섬웨어의 경우 파일의 변종이 발생하거나 유포가 재개된 것은 아니다.
3) 랜섬웨어별 신규 샘플
2월 신규 샘플 수량 2,627 건을 랜섬웨어별 신규 샘플 수량으로 정리한 통계는 아래와 같다. 샘플 수량 기준 상위 20 건만 제시한다.
[그림 4] 랜섬웨어별 신규 샘플 수량 (2024.02)
신규 샘플 수량은 지난달과 비교하여 약 15% 증가한 것으로 집계되었다. 지난 1월에는 Babuk 1,199개 / Conti 682개로 각각 1, 2위를 차지하였으나 이번 2월에는 Conti 1,638개 / Babuk 424개로 1, 2위가 변경되었다.
본 보고서의 랜섬웨어 샘플 수량 및 통계 데이터는 안랩에서 부여한 진단명을 기준으로 생성하였다. 지난 1월과 동일하게 1, 2위를 차지한 Conti & Babuk 진단명을 갖는 랜섬웨어는, 이번 달에도 실제 Conti & Babuk 랜섬웨어가 아닌 BlackHunt & Abyss Locker 랜섬웨어로 확인되었다. 이는 2021~2022년에 걸쳐 Conti, Babuk 랜섬웨어의 소스코드 유출 이슈가 있었고 해당 소스코드를 기반으로 새롭게 제작된 것에 기인한다.
또한, 전월에는 Magniber가 3위로 확인되었으나 이번에는 RAWLD 진단명을 갖는 RA World 랜섬웨어가 Magniber를 제치고 세번째로 높은 수치를 보였다. 이와 관련된 내용은 ‘주요 동향’ 챕터에서 살펴보기로 한다. RA World 랜섬웨어 수량보다 약 50% 이상 낮은 수치를 보이는 Magniber 랜섬웨어는 2021년 8월부터 2023년 6월까지 유포되었던 지난 유형의 샘플로 확인되었다.
