2023년 12월 랜섬웨어 동향 보고서
목적 및 범위
이 보고서는 2023년 12월 한 달 동안 수집된 신규 랜섬웨어 샘플 수량, 피해 시스템 수량, 피해 업체에 대한 통계와 참고할 만한 국내/외 주요 랜섬웨어 이슈를 제공한다. 본 보고서에서 언급하지 않은 랜섬웨어 관련 주요 이슈 및 랜섬웨어별 통계 정보는 AhnLab TIP (Threat Intelligence Platform, 이후 ATIP 으로 언급함) 에서 아래와 같은 키워드 검색과 통계 메뉴를 통해 추가로 확인 가능하다.
l 랜섬웨어
랜섬웨어 샘플 수량 및 피해 시스템 수량 통계는 안랩에서 부여한 진단명을 기준으로 사용했으며, 랜섬웨어 피해 업체 통계는 랜섬웨어 그룹의 DLS (Dedicated Leaks Sites, 랜섬웨어 PR 사이트 또는 PR 페이지로 언급되는 것과 같음)에 공개된 정보를 ATIP 인프라에서 수집한 시간을 기준으로 사용했음을 미리 밝힌다.
주요 통계
1) 데이터 출처 및 수집 방법
ATIP 는 내부 인프라를 통해 다음과 같은 랜섬웨어 정보의 모니터링 및 분석을 진행하고 있다.
l ASD (AhnLab Smart Defense) 기반 악성 파일 및 행위의 수집/진단 목록
l 랜섬웨어 그룹의 DLS (Dedicated Leaks Sites) 에 게시된 피해 업체 수집 목록
랜섬웨어 신규 샘플 수량 및 피해 시스템 통계에서 사용되는 기준은 안랩에서 부여한 진단명이다. 다음과 같이 악성 파일 및 의심 행위 탐지시 부여된 진단명의 카테고리가 Ransomware/ 또는 Ransom/ 으로 분류되는 경우로 한정한다.
l Ransomware/Win.Magniber : 파일 진단명 예시
l Ransom/MDP.Magniber : 행위 진단명 예시
또한 탐지 시점에 획득한 진단명이 Generic, Agent, Edit, Decoy, … 와 같이 특정 랜섬웨어 유형을 식별할 수 없거나, 미탐지 또는 탐지 시점 이후 진단명 변경 등으로 랜섬웨어 통계에서 제외되거나 다른 랜섬웨어 유형으로 변경되어 집계될 수 있다.
랜섬웨어 피해 업체 통계는 랜섬웨어 그룹이 피해 업체를 공개하여 압박하는 용도로 운영하는 DLS (Dedicated Leaks Sites) 페이지를 주기적으로 모니터링하여 축적한 데이터를 기반으로 정리한 수치이다. DLS 페이지가 접속 불가 상태이거나 수집 시점이 늦은 경우에는 통계에서 제외되거나 정확한 피해 업체의 공개 시점과 다른 시기로 집계될 수 있다.
따라서 본 보고서의 통계는 전반적인 랜섬웨어 샘플 및 피해 시스템의 추이를 살펴보는 용도로 활용하고, 피해 업체 통계를 통해 어떤 랜섬웨어 그룹이 활발한 공격을 진행하고 있는지 등의 전반적인 경향을 이해하고 참고하는 용도로 활용할 것을 제안한다.
2) 랜섬웨어 전체 통계
최근 6개월 동안 수집된 랜섬웨어 신규 샘플 전체 수량은 아래와 같다.
[그림 1] 랜섬웨어 신규 샘플 수량
2023년도 2월부터 Magniber 로 인해 급증했던 수량이 8월 이후 급격히 감소한 상태를 꾸준히 유지하고 있다. 12월 Magniber 샘플 수량은 최근 추세와 다르게 소폭 상승했으나, StopCrypt, LockBit 등 대부분의 랜섬웨어 샘플 수량이 전월 대비 크게 감소한 영향으로 12월 랜섬웨어 신규 샘플 수량은 전월 대비 50% 감소한 396 건으로 집계되었다.
같은 기간의 랜섬웨어 피해 시스템 및 감염에 사용된 랜섬웨어 파일의 중복 데이터를 제거한 후의 전체 수량은 아래와 같다. (편의상 “피해 시스템” 이란 용어를 사용했으나, 좀더 정확하게는 랜섬웨어 파일이나 행위가 탐지된 시스템으로 감염에 노출된 시스템으로 이해한다.)
[그림 2] 랜섬웨어 피해 시스템/파일
피해 시스템 통계는 전월 통계 대비 약 3~4배 증가한 1,263 건으로 집계되었다. 피해 시스템의 증가 수치는 한동안 잠잠하던 Magniber 샘플의 감염 시도가 12월 7일 경부터 서서히 증가한 것이 그 원인으로 파악되었다. 구체적인 수치는 아래 “[그림 6] 랜섬웨어별 피해 시스템 일별 수량 (2023.12)”을 참고한다.
랜섬웨어의 행위 탐지 (MDP) 기반의 피해 시스템 전체 수량 및 차단 리포트 건수는 아래와 같다.
[그림 3] 랜섬웨어 행위 탐지 기반 피해 시스템/리포트
행위 탐지 시스템 통계는 피해 시스템 수량의 증가보다는 작지만, 전월 통계 대비 1.7배 정도 증가한 8,537 건으로 집계되었다. 이는 파일 탐지 기반 피해 시스템의 증가와 동일하게 Magniber 샘플 유포 수량의 증가가 반영된 것으로 그 원인인 것으로 파악된다.
3) 랜섬웨어별 신규 샘플
12월 신규 샘플 수량 396 건을 랜섬웨어별 신규 샘플 수량으로 정리한 통계는 아래와 같다. 샘플 수량 기준 상위 20 건만 제시한다.
[그림 4] 랜섬웨어별 신규 샘플 수량 (2023.12)
Magniber 샘플 수량은 전월 119 개에서 156 개로 증가했으며, 이는 위에서 살펴본 통계에서 파악된 Magniber 샘플 수량의 소폭 증가와 피해 시스템 수량의 급증과 같은 맥락으로 이해할 수 있다. Magniber 를 제외한 대부분의 랜섬웨어의 샘플 수량은 전월 대비 큰 폭으로 감소했다.
