본문 바로가기

Emsisoft기술정보

랜섬웨어 2020년 3/4분기 통계 - 엠시소프트 (EMSISOFT)

랜섬웨어는 2020년 3분기에도 지속적인 위협으로 유지되었습니다. 위협 행위자들은 종종 랜섬웨어 페이로드 전달 전에 목표 환경 준비와 데이터 유출에 상당한 시간을 할애하여 보정 후 배포를 계속 선호하였습니다. 우리는 또한 아바돈, 콘티, 다크사이드, 선크립트, 락빗과 같은 위협 행위자들이 이번 분기에 새로운 데이터 유출 사이트를 개설하는 등 더 많은 랜섬웨어 그룹들이 도난당한 데이터를 무기화하려고 하는 것을 보았습니다.

특히 3/4분기에는 학교 시스템을 공격하는 것이 눈여겨 볼 만합니다. 일부 공격자들은 며칠 혹은 심지어 몇 주 전에 손상되었을 수도 있는 학교 시스템에 랜섬웨어를 배치하는 기회로 이용하였습니다. 위협 행위자들은 공격의 영향을 증가시키기 위해 파일들을 암호화하기 전에 학생들이 학교로 돌아오기를 기다렸을 가능성이 있고, 사건을 해결하고 몸값을 지불하기 위해 학군에 추가적인 압력을 가했을 가능성이 있습니다. 이것이 왜 하트포드 공립학교와 같은 몇몇 학교들이 첫 날에 타격을 받았는지를 설명해 줄지도 모릅니다. 온라인 학습의 위험성이 높아진 것도 이번 분기의 랜섬웨어 사고에 한몫했을 것입니다.

특히 메이즈 랜섬웨어 그룹은 50만 명 이상의 학생을 대상으로 하는 미국의 가장 큰 학군 중 하나인 클라크 카운티 학군과 페어팩스 카운티 공립학교를 감염시키며 교육기관에 대한 끊임없는 위협이 되었습니다. 두 사건 모두 몸값을 지불하지 않자 공격자들은 민감한 정보를 유출해 유출 사이트에 게시하는 행동을 취하였습니다.

3분기에는 최초의 랜섬웨어 관련 사망사건이 있었습니다. 공격자들은 2020년 9월 뒤셀도르프 대학병원의 서버 30대를 랜섬웨어로 감염시켜 독일병원이 응급환자를 외면할 수밖에 없었고, 이 환자들 중 한 명인 생명이 위독한 여성은 20마일 떨어진 다른 병원으로 이송되었고 치료 지연으로 비극적으로 사망하였습니다. 이것은 랜섬웨어 공격과 직결된 첫 번째 사망사고였습니다. 안타깝게도 마지막이 될 것 같지 않아 보입니다.

다음 통계는 2020년 7월 1일부터 9월 30일까지 Emsisoft와 ID 랜섬웨어에 제출된 12만368건의 랜섬웨어에 대한 통계를 보여줍니다. 엠시소프트 시큐리티 연구원인 마이클 길레스피가 만든 ID 랜섬웨어는 어떤 랜섬웨어 변종이 자신의 파일을 암호화했는지 기관과 개인이 확인할 수 있는 서비스로, 일부 랜섬웨어 복구도구를 제공하고 있습니다.

가장 일반적으로 보고되는 2020년 3분기 랜섬웨어 변종

다음 도표는 가장 일반적으로 보고되는 10가지 3분기 변종을 보여줍니다. STOP/Djvu로 알려진 랜섬웨어 가족이 전체 제출물 중 69.9%를 차지할 정도로 가장 흔한 변종입니다.

1. STOP (Djvu): 69.90%

2. Phobos: 9.10%

3. Dharma: 8.10%

4. Revil / Sodinokibi: 3.30%

5. Avaddon: 2.90%

6. LockBit: 2.20%

7. Magniber: 1.60%

8. Makop: 1.20%

9. GlobeImposter 2.0: 0.90%

10. Cryakl: 0.90%

가장 일반적으로 보고되는 2020년 3분기 랜섬웨어 변종(STOP 제외)

다음 도표는 STOP 제출이 제외된 상태에서 가장 일반적으로 보고되는 10가지 Q3 변종을 보여줍니다.

1. Phobos: 29.40%

2. Dharma: 26.30%

3. Revil / Sodinokibi: 10.70%

4. Avaddon: 9.20%

5. LockBit: 7.20%

6. Magniber: 5.20%

7. Makop: 3.90%

8. GlobeImposter 2.0: 2.90%

9. Cryakl: 2.80%

10. Medusa Locker: 2.40%

국가별 대부분의 랜섬웨어 제출

다음 도표는 STOP 제출이 포함된 랜섬웨어 제출이 가장 많은 10개 국가를 나타낸다.

1. India: 28.50%

2. Indonesia: 16.30%

3. Pakistan: 9.10%

4. USA: 8.10%

5. South Korea: 8.10%

6. Egypt: 7.80%

7. Brazil: 7.70%

8. Philippines: 5.90%

9. Bangladesh: 4.50%

10. Turkey: 3.80%

결론

STOP/DJVU는 2020년 1분기와 2분기에 가장 많이 보고된 랜섬웨어 변종이 었는데 이번 3분기에도 가장 많은 랜섬웨어로 등록되었습니다. 확인된 변종이 160개가 넘는 STOP은 현존하는 랜섬웨어 변종 중 가장 널리 퍼져 있는 것으로 전체 제출물 중 69.90%를 차지하였습니다. 그러나 2분기(71.7%)에 비해 소폭 하락하였습니다.

우리가 2분기와 3분기를 비교할 때, 우리는 가장 흔히 보고되는 랜섬웨어 변종의 변화를 관찰할 수 있었습니다. 페이먼트45와 구글은 10위권 밖으로 밀려나 각각 5위와 10위로 진입한 아바돈과 크라이아클로 대체되었습니다. 가장 흔히 보고되는 네 가지 랜섬웨어 변종(STOP, 포보스, 달마, 레빌/소디노키비)에는 변화가 없었습니다.

지리학적으로 볼 때, 파일 제출은 아시아 쪽으로 심하게 치우쳐 있습니다. 3분기 전체 랜섬웨어 제출 건 수 중에 아시아 국가가 3개(76.2%) 이상을 차지해 2분기 60%에 비해 크게 늘었습니다. 인도에서의 제출이 2분기 28.4%에서 3분기 28.5%로 소폭 증가하는 등 상위권에는 변화가 없었습니다.

2분기에 미국은 5.9%의 제출이 증가하면서 어느 나라보다 가장 큰 변화를 겪었습니다. 이번 분기에는 미국의 제출이 2분기 16.1%에서 3분기 8.1%로 떨어져 8%의 큰 폭의 하락을 나타내는 등 그 추세를 반전시켰습니다. 신규 진입은 3분기 알제리가 10위권 밖으로 밀려나면서 4.5%를 차지한 방글라데시가 유일하였습니다.

랜섬웨어 예방을 위한 기업이나 개인은 미리 안티랜섬웨어 소프트웨어를 준비하고 PC와 서버에 설치하여 방역을 하여야 합니다.

랜섬웨어 예방에 가장 앞서나가는 솔루션으로 엠시소프트 안티랜섬웨어를 추천합니다.

http://www.emsisoft.co.kr

EMSISOFT 안티멀웨어, 랜섬웨어 예방

엠시소프트 안티멀웨어는 악성코드 및 랜섬웨어 예방 솔루션으로 글로벌 보안 제품으로, 개인 및 기업 컴퓨터 백신으로 사용 추천

www.emsisoft.co.kr