2024년 1월 랜섬웨어 동향 보고서
목적 및 범위
이 보고서는 2024년 1월 한 달 동안 수집된 신규 랜섬웨어 샘플 수량, 피해 시스템 수량, 피해 업체에 대한 통계와 참고할 만한 국내/외 주요 랜섬웨어 이슈를 제공한다. 본 보고서에서 언급하지 않은 랜섬웨어 관련 주요 이슈 및 랜섬웨어별 통계 정보는 AhnLab TIP (Threat Intelligence Platform, 이후 ATIP 으로 언급함) 에서 아래와 같은 키워드 검색과 통계 메뉴를 통해 추가로 확인 가능하다.
l Ransomware
l 랜섬웨어
l 악성코드 유형별 현황
랜섬웨어 샘플 수량 및 피해 시스템 수량 통계는 안랩에서 부여한 진단명을 기준으로 사용했으며, 랜섬웨어 피해 업체 통계는 랜섬웨어 그룹의 DLS (Dedicated Leaks Sites, 랜섬웨어 PR 사이트 또는 PR 페이지로 언급되는 것과 같음)에 공개된 정보를 ATIP 인프라에서 수집한 시간을 기준으로 사용했음을 미리 밝힌다.
주요 통계
1) 데이터 출처 및 수집 방법
ATIP 는 내부 인프라를 통해 다음과 같은 랜섬웨어 정보의 모니터링 및 분석을 진행하고 있다.
l ASD (AhnLab Smart Defense) 기반 악성 파일 및 행위의 수집/진단 목록
l 랜섬웨어 그룹의 DLS (Dedicated Leaks Sites) 에 게시된 피해 업체 수집 목록
랜섬웨어 신규 샘플 수량 및 피해 시스템 통계에서 사용되는 기준은 안랩에서 부여한 진단명이다. 다음과 같이 악성 파일 및 의심 행위 탐지시 부여된 진단명의 카테고리가 Ransomware/ 또는 Ransom/ 으로 분류되는 경우로 한정한다.
l Ransomware/Win.Magniber : 파일 진단명 예시
l Ransom/MDP.Magniber : 행위 진단명 예시
또한 탐지 시점에 획득한 진단명이 Generic, Agent, Edit, Decoy, … 와 같이 특정 랜섬웨어 유형을 식별할 수 없거나, 미탐지 또는 탐지 시점 이후 진단명 변경 등으로 랜섬웨어 통계에서 제외되거나 다른 랜섬웨어 유형으로 변경되어 집계될 수 있다.
랜섬웨어 피해 업체 통계는 랜섬웨어 그룹이 피해 업체를 공개하여 압박하는 용도로 운영하는 DLS (Dedicated Leaks Sites) 페이지를 주기적으로 모니터링하여 축적한 데이터를 기반으로 정리한 수치이다. DLS 페이지가 접속 불가 상태이거나 수집 시점이 늦은 경우에는 통계에서 제외되거나 정확한 피해 업체의 공개 시점과 다른 시기로 집계될 수 있다.
따라서 본 보고서의 통계는 전반적인 랜섬웨어 샘플 및 피해 시스템의 추이를 살펴보는 용도로 활용하고, 피해 업체 통계를 통해 어떤 랜섬웨어 그룹이 활발한 공격을 진행하고 있는지 등의 전반적인 경향을 이해하고 참고하는 용도로 활용할 것을 제안한다.
2) 랜섬웨어 전체 통계
최근 6개월 동안 수집된 랜섬웨어 신규 샘플 전체 수량은 아래와 같다.
[그림 1] 랜섬웨어 신규 샘플 수량
2023년 8월 이후 12월까지 급격히 감소한 추이를 보였던 랜섬웨어 샘플은 해가 바뀌면서 약 5.8배나 증가한 수치를 보였다. 그래프에서 확인할 수 있듯이, 작년 8월에 수집된 랜섬웨어 수량보다는 적지만, 약 4개월간 유지되던 감소 추세에서 급증한 양상을 보였다는 점에서 주목할만하다.
2024년 1월에 수집된 랜섬웨어 신규 샘플 2283건 중 1, 2위로 확인된 Babuk, Conti 랜섬웨어는 지난 12월에는 순위권에서 확인되지 않았던 종류들이다. 관련 내용은 ‘3) 랜섬웨어별 신규 샘플’ 에서 보다 자세히 살펴본다.
같은 기간의 랜섬웨어 피해 시스템 및 감염에 사용된 랜섬웨어 파일의 중복 데이터를 제거한 후의 전체 수량은 아래와 같다. (편의상 “피해 시스템” 이란 용어를 사용했으나, 좀더 정확하게는 랜섬웨어 파일이나 행위가 탐지된 시스템으로 감염에 노출된 시스템으로 이해한다.)
[그림 2] 랜섬웨어 피해 시스템/파일
피해 시스템 통계는 2023년 12월에도 11월 대비 3~4배 증가한 양상을 보였었는데, 2024년 1월에도 지난달(2023-12) 대비 약 24% 증가하였다.
피해 시스템의 증가 수치는, 2023년 12월 초에 잠잠한 양상을 보였던 Magniber 랜섬웨어 감염 시도와는 달리 2024년 1월 내내 비교적 고르게 높은 수치를 보인 것이 그 원인으로 파악되었다. 12월 Magniber 감염 시스템 수는 일평균 48개였으나, 2024년 1월 Magniber 감염 시스템 수는 일평균 약 63개로 확인되었다. 구체적인 수치는 아래 “[그림 6] 랜섬웨어별 피해 시스템 일별 수량(2024.01)”을 참고한다.
랜섬웨어의 행위 탐지 (MDP) 기반의 피해 시스템 전체 수량 및 차단 리포트 건수는 아래와 같다.
[그림 3] 랜섬웨어 행위 탐지 기반 피해 시스템/리포트
행위 탐지 시스템 통계는 전월 대비 약 26% 이상 감소한 6,283 건으로 집계되었다. Magniber 랜섬웨어의 경우, 파일의 변종이 발생한 거나 유포가 재개된 것이 아니므로 제품에서 파일 탐지가 먼저 이루어져 행위 탐지가 소폭 감소한 것으로 파악된다.
3) 랜섬웨어별 신규 샘플
1월 신규 샘플 수량 2,283 건을 랜섬웨어별 신규 샘플 수량으로 정리한 통계는 아래와 같다. 샘플 수량 기준 상위 20 건만 제시한다.
[그림 4] 랜섬웨어별 신규 샘플 수량 (2024.01)
신규 샘플 수량의 총 개수가 크게 증가(약 5.8배 증가)한 것을 감안하면, Magniber 샘플 수량은 전월 156 개에서 102 개로 비교적 소폭 감소한 것을 알 수 있다. Magniber 샘플의 경우, 모두 2021년 8월부터 2023년 6월까지 유포되었던 지난 유형의 샘플로 확인되었다.
또한, 전월에는 Magniber 와 Lockbit 랜섬웨어가 순위권을 차지하였는데, 이번 달에는 Babuk 과 Conti 랜섬웨어의 수량이 전체 수량의 약 82% 점유율을 보인다. 이와 관련된 설명에 앞서, 2021~2022년에 걸쳐 Babuk 과 Conti 랜섬웨어의 소스코드 유출 이슈가 있었고 해당 소스코드를 기반으로 새로운 랜섬웨어들이 다수 제작된 바 있다.
본 보고서의 랜섬웨어 샘플 수량 및 통계 데이터는 안랩에서 부여한 진단명을 기준으로 생성하였는데, 1,2순위를 차지한 진단명의 샘플들을 확인해보니 Babuk은 Abyss Locker로 알려진 랜섬웨어, 그리고 Conti는 BlackHunt 랜섬웨어로 확인되었다.
