동향 리포트/월간 동향 리포트

2021년 02월 랜섬웨어 동향 보고서

TACHYON & ISARC 2021. 3. 8. 15:01

국내/외 랜섬웨어 피해 사례

2021 2(2 1 ~ 2 28) 한 달간 랜섬웨어 동향을 조사한 결과, “HelloKitty” 랜섬웨어가 폴란드 비디오 게임 개발 업체 CD PROJEKT RED를 공격했다. 또한, “DoppelPaymer” 랜섬웨어가 국내 자동차 기업의 미국 지사를 공격했고, 미국 자동 자금 이체 서비스 제공 업체인 AFTS “Cuba” 랜섬웨어 공격을 받아 데이터가 유출된 사건이 있었다.

 

[그림  1]  국내 / 외 랜섬웨어 피해 타임라인

 

폴란드 비디오 게임 개발 업체 CD PROJEKT RED, HelloKitty 랜섬웨어 피해 사례

지난 11월 처음 발견된 “Hellokitty” 랜섬웨어에 의해 CD PROJEKT RED가 공격을 받았다. 이번 공격으로 인해 피해 기업은 일부 시스템이 암호화되어 업무에 지장을 받았고, 공식 트위터에 사이버 공격을 당했지만 이로 인한 몸값 지불 및 협상은 하지 않겠다는 내용을 게시했다. CD PROJEKT RED가 사이버 공격을 받은 지 약 일주일 뒤, 외신은 “HelloKitty” 랜섬웨어 운영진이 피해 기업에서 탈취한 정보를 경매에 부쳤다고 알렸으나 실제로 판매됐는지는 확인되지 않았다. 

 

네덜란드 연구위원회 NWO(Netherlands Organisation for Scientific Research), DoppelPaymer 랜섬웨어 피해 사례

지난 2월 초, 네덜란드 연구위원회 NWO “DoppelPaymer” 랜섬웨어 공격으로 인해 서버를 오프라인으로 전환했으며 연구 보조금 할당을 위한 프로세스를 중단하도록 공지했다. 랜섬웨어 운영자는 NWO가 이번 사이버 공격에 협조하지 않아 NWO의 서버에서 탈취한 파일 12개를 유출하고, 아직 협상할 수 있는 기회는 열려있다고 주장했다. 이에 대해 NWO 측은 공격자에게 랜섬머니를 지불하지 않기로 결정했으며 암호화된 네트워크 시스템 복원 작업을 진행하여 몇 주 후에 종료했던 서버를 재개할 것이라고 발표했다.

 

국내 자동차 기업의 미국 지사, DoppelPaymer 랜섬웨어 피해 사례

지난 2월 중순, 국내 자동차 기업의 미국 지사가 사이버 공격을 받아 고객 지원 서비스와 “UVO Link” 등의 모바일 앱이 영향을 받았다. 피해 업체는 사건 직후 웹사이트에내부 네트워크가 영향을 받아 IT 서비스 장애를 겪고 있다는 에러 문구를 띄우고, 랜섬웨어 공격이 아니라고 언급했다. 하지만, 외신은 피해 기업 명이 명시된 랜섬노트와 결제 사이트 스크린샷을 확보하여 "DoppelPaymer" 랜섬웨어가 공격했다고 알렸다. 현재, “DoppelPaymer” 랜섬웨어 운영진은 랜섬머니 결제 사이트에 명시한 약 3천만 달러 상당의 랜섬머니(600 비트코인)를 요구하고 있다.

 

미국 자동 자금 이체 서비스 제공 업체 AFTS(Automatic Funds Transfer Services), Cuba 랜섬웨어 피해 사례

최근, 미국에서 자동 자금 이체 서비스를 제공하는 AFTS “Cuba” 랜섬웨어 공격을 받았다. 이로 인해 피해 기업의 웹 사이트 운영이 중단됐고, 기술적 문제로 자동 이체 서비스를 사용할 수 없다는 공지가 올라왔다. 이후, “Cuba” 랜섬웨어 운영진은 직접 운영하는 데이터 유출 사이트에 탈취한 정보를 게시했다고 주장했다. 현재 AFTS를 이용하는 도시들은 이번 사건으로 인한 데이터 유출 사실을 알렸으며, 아직까지 정확한 피해 규모 및 대응은 확인되지 않았다.

 

캐나다 렌트 회사 Discount Car and Truck Rentals, DarkSide 랜섬웨어 피해 사례

캐나다의 렌트 회사인 Discount Car and Truck Rentals “DarkSide” 랜섬웨어에 공격을 받았다. 이번 사건으로 인해 피해 업체에서 제공하는 온라인 렌탈 서비스가 잠시 중단됐다. 피해 업체는 웹사이트에 기술적인 문제로 다운되었다는 공지를 게시했고, 피해를 입은 서비스 복구와 관련 사건 조사를 진행한다고 언급했다. 현재, “DarkSide” 랜섬웨어 운영진은 해당 기업에서 탈취한 정보 중 일부의 스크린샷을 직접 운영하는 데이터 유출 사이트에 게시하며 피해 기업에서 정보를 탈취했다고 주장하고 있다.

 

신종 및 변종 랜섬웨어

2021 2월에 출현한 랜섬웨어 중, “BleachGap” 랜섬웨어는 정해진 랜섬머니 지불 기한이 만료되면 MBR을 파괴하여 사용자가 PC를 다시 이용할 수 없도록 한다. 또한, 지난 2016년에 발견된 “Xorist”가 변종으로 재등장했으며 랜섬노트 내용이 작성된 오류 메시지 창을 띄워 감염 사실을 알린다는 특징이 있다.

따라서, 파일 암호화 및 시스템 복구 무력화를 통해 사용자에게 피해를 끼치고 이를 이용하여 랜섬머니를 요구하는 랜섬웨어가 발견되고 있으므로 사용자의 주의가 필요하다.

 

[그림  2] BleachGap  랜섬웨어 랜섬노트  ( 좌 ) / Xorist  랜섬웨어 랜섬노트  ( 우 )

 

BleachGap 랜섬웨어

지난 2월 중순, 파일을 암호화하고 MBR을 파괴하여 부팅이 불가능하도록 만드는 “BleachGap” 랜섬웨어가 발견됐다. 해당 랜섬웨어가 실행되면 '%USERPROFILE%' 경로를 대상으로 파일을 암호화하며 확장자를 ".lck"로 변경한다. 그 후, 랜섬노트에 지정된 기한인 5일이 지나면 MBR 파괴를 위한 파일을 다운로드 받아 실행하여 부팅이 불가능하도록 만든다. 또한, 키보드 마우스 설정 변경 및 볼륨 섀도우 복사본 삭제를 통해 사용자가 PC 이용에 불편을 끼친다.

 

Xorist 랜섬웨어

지난 2016년도부터 활동을 시작한 “Xorist” 랜섬웨어가 또 다른 변종으로 등장했다. 해당 랜섬웨어는 사용중인 모든 드라이브를 대상으로 암호화하며 확장자를 "CRYPTED!"로 변경한 후, 재부팅 후에도 자동 실행 되도록 레지스트리에 등록한다. 추가적으로 랜섬노트 내용이 작성된 오류 메시지 창을 띄워 감염 사실을 알리고 랜섬머니를 요구한다.