2021년 2분기는 미국 인프라 사상 최대 규모의 랜섬웨어 공격이 있었습니다. 5월 7일, 미국 최대의 정유 제품 파이프라인 시스템을 운영하고 있는 콜로니얼 파이프라인 회사가 다크사이드 랜섬웨어에 감염되었습니다. 그 공격은 Colonary Pipeline이 440만 달러의 몸값을 지불하고서야 해결되었고, 그전 6일간 폐쇄 되어 엄청난 파장을 일으켰습니다. Joseph Blount CEO는 랜섬웨어 몸값을 지불한 것에 대해 우리 나라를 위해 해야 할 올바른 일이라고 언급하였었습니다.
그 공격은 어쩌면 너무나 성공적이었습니다. 이 사건은 연료 공급망에 광범위한 혼란을 초래했고, 이로 인해 기름값이 6년 만에 최고치를 기록했고 백악관의 상당한 관심을 끌었습니다. 미국 당국의 압력과 공개 서버 압수에 이어 다크사이드는 사업을 중단할 수밖에 없었습니다.
그 사건은 랜섬웨어 시장의 다른 곳에서도 큰 파문을 일으켰습니다. 원치 않는 관심을 끌지 않기 위해, 일부 사이버 범죄 포럼은 랜섬웨어에 대한 모든 언급을 삭제하기 시작했고, 아바돈과 소디노키비 같은 랜섬웨어 단체들은 그들의 계열사들이 공격하도록 허용할 대상을 제한하기 시작할 것이라고 발표하였습니다.
다크사이드만이 2분기에 퇴출하는 유일한 그룹은 아니었습니다. Avadon은 6월에 선례를 따라 모든 피해자의 은퇴를 선언하고 무료 키를 공개하여 과거의 피해자들이 암호화된 데이터를 복구하는 데 사용할 수 있는 암호 해독기를 출시할 수 있게 하였습니다.
2분기에는 위협 행위자가 한 번의 공격으로 여러 종류의 랜섬웨어로 데이터를 암호화하는 사례가 다수 있었습니다. 이중 암호화는 가뜩이나 어려운 프로세스인 복구 작업을 더욱 복잡하게 만들며 피해자들이 공격자의 요구 사항을 준수해야 한다는 부담을 가중시킵니다. 이러한 사례가 격리된 사건이었는지 아니면 새로운 추세의 시작이었는지는 두고 봐야 할 것입니다.
다음 통계는 2021년 4월 1일부터 6월 30일까지 Emsisoft 및 ID-RANSOMWARE에 제출한 137,537건의 데이터를 기반으로 합니다. Emsisoft 보안 연구원 Michael Gillespie가 만든 ID-RAMSONWARE는 사용자가 랜섬 노트, 샘플 암호화된 파일 및/또는 공격자의 연락처를 업로드하여 자신의 파일을 암호화한 랜섬웨어 종류를 식별할 수 있는 웹사이트입니다. 또한 암호 해독 도구가 사용 가능한 경우 사용자에게 암호 해독 도구로 안내합니다.
참고 : 피해자의 25%만이 Emsisoft 또는 ID 랜섬웨어에 제출한 것으로 추정되므로 실제 사고 건수는 훨씬 더 많을 것입니다.
2021년 2분기 랜섬웨어 변종 가장 흔하게 보고된 랜섬웨어
다음 표는 이번 분기에 제출된 10개 균주의 88.40%를 총합하여 가장 많이 보고되는 2분기 균주를 보여줍니다. STOP/Djvu로 알려진 랜섬웨어 제품군이 전체 제출물의 71.20%를 차지하여 단연코 가장 일반적인 변종이었습니다.
- STOP (Djvu): 71.20%
- Phobos: 3.50%
- REvil / Sodinokibi: 2.40%
- QLocker: 2.30%
- Makop: 2.20%
- Dharma (.cezar): 2.00%
- Magniber: 1.60%
- eCh0raix / QNAPCrypt: 1.40%
- LockBit: 0.90%
- GlobeImposter 2.0: 0.90%
2021년 2분기 가장 일반적으로 보고된 랜섬웨어 변종(STOP 제외)
다음 차트는 STOP 제출이 제외된 가장 일반적으로 보고된 10가지 Q2 변종을 보여줍니다.
- Phobos: 12.10%
- REvil / Sodinokibi: 8.20%
- QLocker: 7.80%
- Makop: 7.60%
- Dharma (.cezar): 6.90%
- Magniber: 5.50%
- eCh0raix / QNAPCrypt: 4.70%
- LockBit: 3.00%
- GlobeImposter 2.0: 3.00%
- Zeppelin: 2.40%
국가별로 랜섬웨어 감염파일 제출 비중
다음 차트는 STOP 제출이 포함된 랜섬웨어 제출이 가장 많은 10개 국가를 보여 줍니다. 이들 10개 국가가 이번 분기에 제출한 전 세계 신청의 58.10%를 차지했습니다.
- India: 21.30%
- Indonesia: 10.00%
- South Korea: 5.50%
- Egypt: 4.10%
- Brazil: 3.90%
- Pakistan: 3.80%
- United States: 3.40%
- Germany: 2.50%
- Philippines: 1.90%
- Italy: 1.70%
결론
이번 분기에 ID 랜섬웨어 제출 건수가 크게 증가하여 1분기 96,023건에서 2분기 137,537건으로 43.23% 증가했습니다.
STOP/Djvu는 2분기에 전체 제출의 71.2%를 차지하여 가장 많이 제출된 랜섬웨어 제품군을 유지하였습니다. STOP은 주로 가정 사용자에게 영향을 미치는 다작의 랜섬웨어 종류이며 일반적으로 결함이 있는 소프트웨어, 주요 생성기 및 활성제를 통해 배포됩니다.
이번 분기에는 QNAP 기기에서 잘 알려진 취약성으로 인해 QNAP 타겟 랜섬웨어가 급증했습니다. 가장 적극적인 것은 QNAP NAS 기기 소유자를 대상으로 하며 상대적으로 적은 500달러의 몸값을 요구하는 새로운 랜섬웨어 변형인 Qlocker였습니다. 수명이 짧음에도 불구하고 Qlocker는 약 35만 달러를 창출한 후 4월에 등장하여 불과 몇 주 만에 운영을 중단했습니다. Qlocker는 이번 분기에 4번째로 많이 제출되었으며 전체 제출의 2.30%를 차지했습니다.
2019년 6월 처음 적발된 랜섬웨어 조직 eCh0raix의 배후 위협 요소도 QNAP 스토리지 기기 공략에 나섰습니다. QNAPCrypt라고 불리는 랜섬웨어는 이번 분기에 제출된 모든 자료의 1.40%를 차지했습니다.
분기별 보고서 작성 이후 분기별로 가장 많이 제출한 인도는 2분기 전 세계 제출물 중 21.3%를 차지하여 1분기의 12.5%에 비해 크게 증가했습니다. 1분기 전체 출품작의 2.2%를 차지했던 스페인과 터키가 2분기 상위 10위권 밖으로 밀려나 독일(2.5%), 필리핀(1.9%)이 뒤를 이었습니다.
랜섬웨어 예방은 엠시소프트 안티멀웨어/안티랜섬웨어를 통해 예방할 수 있습니다.
엠시소프트 (주)소프트메일
'Emsisoft 안티멀웨어' 카테고리의 다른 글
[엠시소프트] 랜섬웨어 복구 프로세스는 생각보다 오래 걸립니다. (0) | 2021.08.03 |
---|---|
멀웨어 감염 에방을 위한 행동 수칙? (0) | 2021.07.27 |
EMSISOFT 랜섬웨어 다크사이드에 관한 이야기 (0) | 2021.06.11 |
엠시소프트의 랜섬웨어 공격 방어 기술 소개 (0) | 2021.06.04 |
EMSISOFT 기업용 고객 브랜드 로고 제공 서비스 (0) | 2021.05.17 |