2018년 랜섬웨어 동향 Posted By ASEC , 2019년 1월 17일 최근 몇 년 동안 기승을 부리던 랜섬웨어의 전체적인 세력은 2018년에는 다소 약화되었다. 2018년 한해 동안 안랩에 접수된 샘플 수는 120만건으로, 이는 지난해 147만건에 비해 18.3% 감소한 수치다. 다만, 감염 리포트 건수는 84만5천건으로 전년의 83만2천건보다 1.5% 정도만 증가했다. 감염 리포트 소폭 증가 원인은 2018년 상반기에 케르베르(Cerber), 매그니베르(Magniber), 갠드크랩(GandCrab) 등의 랜섬웨어로 인한 피해가 많았기 때문이다. 샘플 건수의 감소 원인은 악성코드 제작자들은 랜섬웨어보다는 암호화폐 채굴과 관련이 있는, 일명 마이너(Miner)라고 불리는 악성코드의 제작과 유포에 더 관심을 가지고 있는 것으로 보인다. 실제로 2018년은 랜섬웨어보다는 '마이너 악성코드의 한 해'라고도 할 수 있다. 이 악성코드 유형은 월평균 무려 25만건이 보고 되었으며 랜섬웨어는 월평균 10만건이 보고 되었기 때문이다. (참고로 마이너 악성코드 동향은 추후 ASEC 블로그를 통해 소개할 예정이다.) [그림1] 2017.01 ~ 2018.12 랜섬웨어 통계 (샘플 및 감염 리포트…
2018년 3분기 랜섬웨어 동향 Posted By ASEC , 2018년 11월 2일 2018년 3분기 샘플건수는 2분기 대비 17.7% 증가 하였고 감염 리포트 건수는 63.3% 감소 하였다. 샘플건수 증가 원인은 리포트 건수가 적어 ‘기타’ 로 분류된 랜섬웨어군 샘플 증가가 원인 이였다. 좀더 들여다 보면 새로운 랜섬웨어가 갑자기 증가 한 것은 아니며 Nabucur 랜섬웨어 같이 바이러스 증상을 갖는 유형이 만들어낸 변형이 증가 하거나 별다른 진단명이 부여 되지 않는 랜섬웨어 유형 (Ransom, FileCoder 진단명) 변형이 증가한 것이 원인 이였다. 또한 ‘기타’로 분류된 랜섬웨어군에는 이번 분기에 새로이 발견된 랜섬웨어도 포함 (Ryukran, KrakenCryptor 등) 되었다. 역시 리포트 건수는 매우 적었고 특정 사건과 연관이 되거나 기존 랜섬웨어등에서는 보이지 않았던 피해 증상등이 (파일 삭제 프로그램을 추가 다운로드 하여 실행) 기사화 되어 언론에서 잠시 주목을 받았다. 리포트 건수 감소 원인은 매해 3분기는 여름휴가 및 추석연휴와 같은 특수로 인하여 2분기 대비 감소하는 추세를 보인다. 특히 올해 3분기는 큰 폭으로 감소 하였고 계절적인 특수 이외에도 랜섬웨어 행위를 탐지하는 룰들의 행위 차단 건수가 이번 분기 79,437건으로 확인 되어 이전 분기 대비 49.4% 상승…
2018년 상반기 랜섬웨어 동향 Posted By ASEC , 2018년 8월 8일 지난 1분기와 다르게 2분기 랜섬웨어 유포방식과 감염형태는 사용자 및 안티 바이러스 업체를 전방위적으로 압박 하였다. 이러한 현상은 이후에도 이어질 전망이다. 피해가 많았던 랜섬웨어들의 유포방식과 감염형태의 변화는 다음과 같다. [표1] GandCrab 과 Magniber 유포방식 및 감염 형태 변화 국내 랜섬웨어 피해상황은 지난 분기 대비 샘플 및 감염보고 건수 모두 상승 하였다. 샘플 수량은 1분기 대비 11.8% 증가 하였고, 감염보고 건수는 15.7% 증가 하였다. 감염보고 건수는 아래 그래프에 나타난 대로 4월, 5월에 집중 되었으며 원인은 GandCrab 랜섬웨어로 확인 되었다. 샘플수량 건수는 3월, 4월 감소 하였는데 이는 Magniber 랜섬웨어의 유포 중단으로 확인 되었다. [그림1] 2017년 / 2018년 상반기 랜섬웨어 통계 (샘플 및 감염보고 건수) 다음 [그림2] 2018년 상반기 주요 랜섬웨어 감염 추세를 보면서 GandCrab 증가와 Magniber 감소 원인 에 대하여 설명하고자 한다. …
2018년 1분기 랜섬웨어 동향 Posted By ASEC , 2018년 4월 24일 작년 3분기말 Cerber 랜섬웨어는 활동을 중단 하였고 국내 랜섬웨어 피해는 한풀 꺾일 것으로 예상 되었다. 그러나 작년 10월 중순 동일한 취약점 공격도구 (Magnitude Exploit Kit) 를 사용하여 유포 되는 Magniber (Magnitude + Cerber 의 합성어) 라는 새로운 랜섬웨어가 올해 1분기까지 국내에 많은 피해를 주었다. 이 글을 작성하는 현재 해당 랜섬웨어도 자취를 감추고 4월 초중순부터는 GandGrab 이라고 명명된 랜섬웨어로 교체 되어 유포 중이다. 랜섬웨어는 전세계적으로 그 세력과 피해가 주춤 한 것으로 국내외 안티 바이러스 업체들의 보도를 통해서 알려져 있다. 사이버 범죄자들의 비즈니스 모델은 가상화폐의 시세상승에 힘입어 랜섬웨어에서 가상화폐를 채굴 (이하 코인 마이너) 하는 악성코드 제작과 유포에 더 집중을 하고 있는 것으로 확인 되었다. 안랩도 ASD (AhnLab Smart Defence) 시스템을 통해서 코인 마이너류의 폭발적인 증가를 체감 하고 있다. 그러나 국내의 랜섬웨어 피해상황은…
2017년 3분기 랜섬웨어 동향 Posted By ASEC , 2017년 10월 20일 3분기 랜섬웨어 위협에는 큰 변화가 있었다. 그 변화는 8월초쯤 시작 되어 9월말에 이르러서 확연히 우리 눈 앞에 보여지게 되었다. 그 변화는 가장 많이 보고 되는 Cerber 랜섬웨어의 위협이 약화를 거듭하여 오랜 기간 동안 발견 되고 있지 않다는 것이다. Cerber 는 9월 4주차가 끝나갈 무렵부터 이 글을 작성하는 3주 후까지도 보고 되지 않았다. Cerber 위협이 완전이 끝났다고는 생각 되지 않으며 활동을 중단 한 것일 수도 있다. 다른 악성코드도 그랬듯이 랜섬웨어 역시 홀연히 자취를 감추었다가 다시 활발히 활동 하는 경우가 자주 목격 되는데 대표적으로 Locky 랜섬웨어가 그 중 하나이다. [그림1] 2017년 3분기 랜섬웨어 통계 (샘플 및 감염보고 건수) 위 그래프에서 3분기 랜섬웨어 중 9월 샘플과 리포트 수량 모두 크게 감소 한 것으로 나타났다. 샘플은 전월 대비 68% 감소, 리포트 수는 36%…
