이스트시큐리티 "일망타진 락빗 활동 재개, 새 랜섬웨어도 기승"

세계 최대 랜섬웨어 조직 락빗이 소탕된 후에도 활동을 재개하고 있다는 분석이 나왔다. 올 1분기에도 새로운 랜섬웨어 유형이 출현하는 등 사용자들의 주의가 필요하다는 당부도 나왔다.

18일 사이버보안 전문기업 이스트시큐리티가 공개한 1분기 주요 랜섬웨어 동향에 따르면 이 회사가 알약을 통해 차단한 랜섬웨어 행위기반 차단 건수는 7만9646건에 달했다.


이스트시큐리티 ESRC(시큐리티대응센터)는 "보안 취약점을 이용한 랜섬웨어 공격이 지속되고 있다"며 "사용자 및 기업 보안담당자들은 주요 소프트웨어의 정기적인 업데이트를 통해 보안 취약점을 악용한 랜섬웨어 공격을 효과적으로 방지할 것을 권고드린다"고 밝혔다.

1분기 주요 랜섬웨어 동향으로는 크로노스 작전을 통해 락빗 조직이 소탕된 점이 꼽혔다. 지난 2월 국제 수사 집행기관들이 협력해 진행한 이 작전으로 락빗 34개 서버가 중단됐고 1000개 이상의 암호 해독키가 압수됐다. 락빗 조직은 이번 작전으로 큰 타격을 입고 활동을 중단하는 듯했지만 불과 5일만에 백업 데이터를 통해 다크웹 사이트를 복구하기도 했다.

이와 함께 리시다(Rhysida) 랜섬웨어의 복호화 툴을 한국인터넷진흥원(KISA)과 국민대 DF&C 연구실이 전 세계에서 최초로 공동 개발한 점도 1분기 주요 이슈로 선정됐다. 2023년 5월 처음 발견된 리시다(Rhysida) 랜섬웨어는 주로 VPN, 피싱메일을 통해 유포되며 파일을 암호화한 후 확장자를 .rhysida로 변경한다. 미국 사이버보안 및 인프라 보안국(CISA)과 연방수사국(FBI)은 사이버보안 권고문을 통해 기업들에게 리시다 랜섬웨어에 대한 주의를 당부하기도 했다.


1분기 새로 확인된 랜섬웨어들로는 파우스트(Faust), 윙(Wing) 등이 있었다. 파우스트 랜섬웨어는 파일리스 공격을 통해 암호화 프로세스를 시작하며 효율적인 실행을 위해 여러 스레드를 생성하는 특징이 있다. 윙은 러시아어, 영어 두가지 언어를 지원하며 암호화 모드, 멀티스레딩, 커스터마이징과 같은 다양한 기능들을 제공한다.