보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

2020 – 2021 랜섬웨어 동향

2021.06.30

63,117


 

  

 

 

01. 개요

 

해를 거듭할수록 진화하는 랜섬웨어의 영향으로 공공, 민간, 의료, 유통, 통신 등 다수의 업종에서 랜섬웨어로 인한 피해가 지속적으로 증가하고 있다. 최근 랜섬웨어 공격을 받은 콜로니얼 파이프라인(Colonial Pipeline)의 경우 약 5일간 파이프라인 가동이 중지되었으며 몸값으로 500만 달러(한화 약 50억) 가량을 해커에게 건넨 사실을 인정하였다. 사건 발생 이후 미국 바이든 행정부에서는 사이버 보안 강화 관련 행정명령 14028호를 발표하여 보안사고 발생 시 국가와 민간업체 간 협업의 중요성을 다시 한번 강조하였다.

 

현재 활발히 공격에 활용되는 랜섬웨어인 서비스형 랜섬웨어(RaaS, Ransomware as a Service)의 경우 공격자가 직접 랜섬웨어를 개발할 필요 없이 몸값을 받은 경우 계약된 비율을 나누어 가지는 방식으로 변화하고 있으며 실질적으로 몸값을 받아 낼 수 있는 곳을 골라서 공격을 시도하는 표적형 랜섬웨어의 형태로 변화하고 있다.

 

또한 몸값을 받아내기 위해 이중 협박 전략을 사용하는데 몸값을 지불하지 않으면 데이터 복호화를 해주지 않겠다는 협박과 더불어 탈취한 데이터 중 민감한 정보를 외부에 공개하겠다는 추가 압박을 가하는 것이다. 여기에 DDoS 공격까지 추가된 삼중 협박 전략을 사용하는 랜섬웨어 들이 다수 등장하고 있다.

 

구글 트렌드를 통해 랜섬웨어, 비트코인의 관심도 변화를 분석해본 결과 규모가 큰 사건의 경우 랜섬웨어의 관심도가 올라가면 비트코인의 관심도 역시 증가하는 것으로 확인되었다. 랜섬웨어의 공격기법과 기술에 대한 분류는 MITRE ATT&CK Matrix를 기반으로 작성되었으며, 현재 ATT&CK의 최신 버전은 v9까지 업데이트되어 있다. 랜섬웨어 발현 시기 및 사용한 공격기법이 업데이트 과정에서 삭제 및 통합되는 경우가 발생하여 일부 랜섬웨어의 경우 ATT&CK v9 이외의 하위 버전으로 작성된 경우가 존재하기 때문에 버전별 Matrix가 일부 다르게 작성되었다.

 

이에 이번 호에서는 2020년부터 2021년까지 국내∙외를 강타하여 큰 피해를 입힌 랜섬웨어 10종을 선별하여 랜섬웨어의 주요 특징과 공격 히스토리를 정리하고자 한다.

 

 

[그림 1] 구글 트렌드에서 확인되는 관심도 변화 그래프

 

 

02. 2020 - 2021 랜섬웨어 동향

 

1) Ryuk

 

 

구분

내용

대상 국가

미국, 영국, 캐나다 등

대상 업종

에너지, 의료기관, 정부기관 등

추가 정보

- 피싱(Phishing) 스피어 피싱(Spear-Phishing)을 이용한 유포 시도

- 원격 암호화, Wake-On-LAN 기능을 활용한 파일 암호화 가능

- DaaS(Download as a Service)를 활용하여 배포 기술을 가진 해커가 대리 공격 수행 가능

- BazarLoader, BazarBackdoor를 이용하여 Ryuk 및 공격에 사용되는 도구 다운로드

 

 

- MITRE ATT&CK Matrix (v9)


 

 

 

- 공격 History (2020 - 2021)

 

 


2) Maze (ChaCha)

 

 

구분

내용

대상 국가

미국, 영국, 캐나다, 프랑스, 스위스 등

대상 업종

금융, 교통, 물류, 에너지, 의료기관, 정부기관 등

추가 정보

- 2020년 말, 백신 탐지 우회를 위해 감염대상에 VirtualBox 이미지를 사용하여 파일 암호화 시도

- 침투 보조를 위해 Cobalt Strike, Mimikatz, PowerSploit, ProcDump 및 다양한 도구 사용

- 탈취된 데이터를 Tor 브라우저에서만 접근 가능한 사이트에 유출 및 협박을 통한 몸값 요구

- 202011, Maze 랜섬웨어 개발자가 자신들의 사이트에 공식적으로 프로젝트 종료 선언

 

 

- MITRE ATT&CK Matrix (v6)

 



- 공격 History (2020 - 2021)

 

 

3) Defray777 (RansomEXX, Target777)

 

 

구분

내용

대상 국가

미국, 영국, 캐나다, 호주, 일본, 프랑스, 브라질 등

대상 업종

의료, 교육, 정부기관, 에너지 등

추가 정보

- 침투 보조를 위해 Vatet loader, PyXie RAT, and Cobalt Strike 및 다양한 도구 사용

- 윈도우 및 리눅스에서 독립적으로 실행 가능하며 ELF 바이너리 실행 가능한 VMWare ESXI

   서버에서 동작 가능

 

 

- MITRE ATT&CK Matrix (v7)

 

 



- 공격 History (2020 - 2021) 

 


 

 

4) GandCrab + REvil (Sodinokibi)

 

 

구분

내용

대상 국가

미국, 호주, 캐나다, 홍콩 등

대상 업종

미디어, 에너지, 법률, 제조, 건설 등

추가 정보

- 드라이브 바이 다운로드 (Drive-by download) 기법을 이용한 공격 시도

- 주로 Rig Grandsoft Exploit 도구를 이용한 공격 시도

- 키보드 레이아웃 확인 후 러시아어 레이아웃을 사용 시 랜섬웨어 미 동작

- GandCrab의 경우 20195월 추가적인 개발 중단 선언

- 20194, Revil(Sodinokibi) 랜섬웨어 발견되었으며 GandCrab 랜섬웨어와의 유사점 다수 발견

 

 

- MITRE ATT&CK Matrix (v9)


 



- 버전별 History

 



- REvil (Sodinokibi) 공격 History (2019 - 2020)

 * GandCrab의 경우 특정 업체 감염으로 인한 공개된 이슈가 없어 REvil (Sodinokibi) 공격 History를 기반으로 작성 

 

 

 

 

5) NetWalker (Mailto)

 

 

구분

내용

대상 국가

미국, 캐나다, 프랑스, 독일, 호주 등

대상 업종

정부기관, 의료기관, 제조, 물류, 에너지 등

추가 정보

- 피싱(Phishing) 스피어 피싱(Spear-Phishing)을 이용한 유포 시도

- 외부로 노출된 취약점 또는 취약한 RDP 서비스를 이용한 무단 접근 시도

- VBScript, Powershell을 이용한 파일리스 공격 기법 사용

- Salsa20 암호화, Reflective DLL Loading 기법 사용

 

 

- MITRE ATT&CK Matrix (v7)


 

 

 

- 공격 History (2020 - 2021)

 


 

 

 

6) WasteLocker

 

 

구분

내용

대상 국가

미국, 영국 등

대상 업종

 제약, 교통, 물류, 의료기관, 정부기관 등

추가 정보

- 특정 기업을 대상으로 APT 공격 수행

- 파일 서버, 데이터베이스 서비스, 가상 시스템 및 클라우드 환경이 주요 목표

- 공격방식의 일부는 가짜 브라우저 업데이트 내용을 이용 피싱(Phishing) 시도

- 해당 피싱(Phishing)에 사용되는 공격 도구는 자바스크립트 기반 공격 프레임워크인 속골리시
  (
SocGholish)

 

 

- MITRE ATT&CK Matrix (v9)

 

 



 

- 공격 History (2020 - 2021)

 

 

 

7) DoppelPaymer (BitPaymer)

 

 

구분

내용

대상 국가

미국, 멕시코, 캐나다, 이탈리아, 노르웨이, 독일 등

대상 업종

정부기관, 물류, 금융, 교통, 의료기관 등

추가 정보

- 가짜 업데이트 내용의 피싱(Phishing) 스피어 피싱(Spear-Phishing)을 이용한 유포 시도

- Emotet, Dridex를 이용하여 DoppelPaymer 및 공격에 사용되는 도구 다운로드

- 침투 보조를 위해 Cobalt Strike, Mimikatz, PSExec 및 다양한 도구 사용

- 안전모드로 재부팅 전 현재 사용자 계정의 패스워드 변경

 

 

- MITRE ATT&CK Matrix (v6)

 

 


 


- 공격 History (2020 - 2021)

 


 

 

 

8) Avaddon

 

 

구분

내용

대상 국가

오스트레일리아, 브라질, 중국, 독일, 인도네시아, 스페인, 영국, 프랑스, 인도, 이탈리아, 미국 등

대상 업종

제조, 에너지, 항공사, 의료기관, 마케팅, 유통, 금융, 정부기관 등

추가 정보

- 피싱(Phishing), 스피어 피싱(Spear-Phishing) 및 취약점을 악용한 유포 시도

- 첨부파일은 주로 자바스크립트(.js) 파일이 포함된 압축파일을 사용

- 외부로 노출된 취약점 또는 취약한 RDP 서비스를 이용한 무단 접근 시도

- 특정 언어(러시아, 타타르, 우크라이나, 야쿠트) 사용자의 경우 파일 암호화 없이 종료

- 파일 암호화 + 기밀 유출 협박 + DDoS 공격을 병행하는 삼중 협박 전략 사용

 

 

- MITRE ATT&CK Matrix (v7)


 



- 공격 History (2021)


 


 

 

9) Clop

 

 

구분

내용

대상 국가

스위스, 영국, 미국, 네덜란드, 크로아티아 등

대상 업종

공공기관, 금융, 제조, 유통, 교육 등

추가 정보

- 스피어 피싱(Spear-Phishing) 및 취약점을 악용한 유포 시도

- 악성 매크로 코드 또는 Excel 4.0 매크로를 포함한 문서, HTML, LNK 파일 첨부

- 침투 보조를 위해 Cobalt Strike, Mimikatz, FlawedAmmyy 및 다양한 도구 사용

- AD(Active Directory) 환경을 체크하여 맞을 경우 Beacon 설치

- 자신을 서비스로 등록한 뒤 랜섬웨어 배포 및 실행

 

 

- MITRE ATT&CK Matrix (v9)


 

 

 

 

- 공격 History (2020 - 2021)

 

 

 

 

10) Zeppelin (Buran / VegaLocker)

 

 

구분

내용

대상 국가

미국, 캐나다, 불가리아, 일본, 한국, 프랑스, 대만 등

대상 업종

부동산, 제조, 건강, 의료, 기술 산업 등

추가 정보

- 피싱(Phishing), 스피어 피싱(Spear-Phishing) 및 취약점을 악용한 유포 시도

- 국가 코드를 확인하여 특정 국가 (러시아, 우크라이나, 벨라루스, 카자흐스탄)인 경우 파일
 
암호화 없이 종료

- 최초 실행 시 백신, 샌드박스 우회를 위해 약 26초 동안 대기 후 파일 암호화 실행

- Cobalt Strike 및 자체 프레임워크 사용을 위해 PaaS(Packer-as-a-service)Rex3Packer 활용

 

 

- MITRE ATT&CK Matrix (v6)


 

 

 

 

- 공격 History (2020 - 2021)

 

 


 

 

03. 전체 데이터 정리

 

 

공격유형

(+Variants/

Aliases)

공격

형태

공격방법

(Phishing 이외)

공격업종

공격국가

몸값($) + 지불유형

Ryuk

Spray,

Pray

서비스형 악성코드(Trickbot, BazaLoader, Emotet), Endpoint SW 취약점

에너지, 의료기관, 정부기관 등

미국, 영국, 캐나다

$600K–10M, bitcoin

Maze

(ChaCha)

Target

RDP, 취약한 외부 서비스, Exploit Kit

금융, 교통, 물류, 에너지, 의료기관, 정부기관

미국, 영국, 캐나다, 프랑스, 스위스

평균 $4.8M, bitcoin

Defray777 (RansomEXX, Target777)

Target

SW 취약점

의료, 교육,

정부기관, 에너지

미국, 영국, 캐나다, 호주, 일본, 프랑스, 브라질

$16K–$42K, bitcoin

WastedLocker

Target

정상 SW 업데이트 위장

제약, 교통, 물류, 의료기관, 정부기관

미국, 영국

$10M+, bitcoin

GandCrab + REvil (Sodinokibi)

Target

RDP

미디어, 에너지,

법률, 제조, 건설

미국, 호주, 캐나다, 홍콩, 핀란드

$18K–$1.3M, bitcoin 또는 Monero

NetWalker (MailTo)

Target

RDP, VPN

정부기관, 의료기관, 제조, 물류, 에너지

미국, 캐나다, 프랑스, 독일, 호주

$100K–$2M, bitcoin

DoppelPaymer (BitPaymer)

Target

위장 소프트웨어 설치파일(Dridex)

정부기관, 물류, 금융, 교통, 의료기관

미국, 멕시코, 캐나다, 이탈리아, 노르웨이, 독일

$50K–$1.5M, bitcoin

Avaddon

Spray,

Pray

RDP, 취약한 외부 서비스, Exploit Kit

   제조, 에너지, 항공사, 의료기관, 마케팅, 유통, 금융, 정부기관

오스트레일리아, 브라질, 중국, 독일, 인도네시아, 스페인, 영국, 프랑스, 인도, 이탈리아, 미국

평균 $40k,

bitcoin

Clop

Target

RDP, Supply Chain

공공기관, 금융, 제조, 유통, 교육

스위스, 영국, 미국, 네덜란드, 크로아티아

$100K–$2M,

bitcoin

Zeppelin (Buran/ VegaLocker)

Spray,

Pray

RDP

부동산, 제조, 건강, 의료, 기술 산업

미국, 캐나다, 불가리아, 일본, 한국, 프랑스, 대만

$13K–$35K,

bitcoin

 

 

04. 참고 자료

 

1)UNIT42 Ransomware Threat Report 2021

 -https://www.paloaltonetworks.com/resources/research/unit42-ransomware-threat-report-2021

2)https://www.trendmicro.com/ko_kr/what-is/ransomware/ryuk-ransomware.html#2020-attacks-tm-anchor

3)https://www.kaspersky.com/resource-center/definitions/what-is-maze-ransomware

4)https://securelist.com/ransomexx-trojan-attacks-linux-systems/99279/

5)https://labs.sentinelone.com/wastedlocker-ransomware-abusing-ads-and-ntfs-file-attributes/

6)https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html

7)https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clop-ransomware/