2018년 3분기 랜섬웨어 샘플건수, 2분기 대비 17.7% 증가
Nabucur와 같이 바이러스 증상 유형의 변형과 진단명 없는 랜섬웨어 유형 변형 증가

[보안뉴스 김경애 기자] 2018년 3분기 랜섬웨어 리포트 건수는 줄어든 반면, 랜섬웨어 샘플은 2분기 대비 증가한 것으로 조사됐다. 특히, 갠드크랩 랜섬웨어가 가장 많은 비율을 차지한 것으로 나타났다.


안랩에 따르면 2018년 3분기 샘플건수는 2분기 대비 17.7% 증가했다. 증가 원인으로는 ‘기타’로 분류된 랜섬웨어 군 샘플 증가를 꼽았다. 기타로 분류된 랜섬웨어 군에는 이번 분기에 새롭게 발견된 랜섬웨어(Ryukran, KrakenCryptor 등)도 포함되어 있다. 리포트 건수는 적었지만, 특정 사건과 연관이 되거나 기존 랜섬웨어 등에서는 보이지 않았던 피해 증상(파일 삭제 프로그램을 추가 다운로드 하여 실행) 등이 기사화되어 언론에서 잠시 주목을 받았다.

또한, 증가한 랜섬웨어 유형은 Nabucur 랜섬웨어와 같이 바이러스 증상 유형의 변형과 진단명이 없는 랜섬웨어 유형(Ransom, FileCoder 진단명)의 변형이 증가한 것으로 나타났다.


리포트 건수 감소 원인은 여름휴가 및 추석연휴와 같은 특수로 인해 2분기 대비 감소하는 3분기 특유의 형태가 꼽혔다. 게다가 랜섬웨어 행위를 탐지하는 룰들의 행위 차단 건수가 이번 분기에 7만 9,437건으로 확인되는 등 이전 분기 대비 49.4% 상승했다. 이러한 랜섬웨어 차단건수의 증가로 리포트는 감소했다.

하지만 3분기 가장 기승을 부린 랜섬웨어는 여전히 갠드크랩(GandCrab)으로 지목됐다. 갠드크랩은 유포시 IP를 확인해 우리나라일 경우 V3Lite를 포함한 보안제품을 제거하는 악의적인 기능이 추가됐다.

갠드크랩의 샘플과 리포트 건수는 지난 4월과 5월 정점을 찍은 뒤 그 이후 감소 추세에 있지만 제작자는 블랙마켓에 9월말 최신버전을 공개하며 지속적인 활동을 예고했다. 특히, 10월말 비트디펜더(BitDefender) 사에서 갠드크랩 V1, V4~V5에 대한 복호화 도구를 공개한 바 있다. 하지만 이후 갠드크랩 랜섬웨어 제작자는 복호화 도구가 공개되고 몇일 지나지 않아 복호화 할 수 없는 변형을 제작·유포했다.


3분기 랜섬웨어 샘플수량 Top 10 비율에서도 지난 분기와 마찬가지로 갠드크랩이 가장 많은 샘플 비율을 차지했다. 이어 랜섬크립트(Ransom Crypt)와 매그니베르(Magniber)가 그 뒤를 이었다.

이와 관련 안랩은 “랜섬웨어 제작, 유포, 타깃은 크게 2가지로 나뉜다”며 “갠드크랩처럼 RaaS(Ransomware-as-a-Service) 형태 (범용)와 9월말 국내에 또다시 불거진 웹호스팅 업체의 서버를 타깃으로 한 랜섬웨어 공격 형태다. 특히, 타깃 형태의 경우 국내와 국외의 상황이 조금 다른데 국외의 경우 주로 공공기관 또는 민간기업 등이 대상이 되고 있다”고 분석했다.

또한 “매그니베르의 비율이 상반기 28% 대비 줄었지만 Fileless 형태로 감염 형태를 전환했기 때문에 샘플 수가 줄었다고 해 안심 할수 없다”며 “랜섬웨어 행위 차단 건수는 직전 분기 대비 49.4% 상승한 만큼 은밀하고 보이지 않게 취약한 시스템을 노리고 있다는 점을 명심해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>