오래된 취약점부터 제로데이 공격까지…랜섬웨어그룹 `기세등등`

실시간
뉴스

보안

오래된 취약점부터 제로데이 공격까지…랜섬웨어그룹 '기세등등'

디지털데일리 발행일 2024-09-07 06:52:32

김보민 기자

URL복사

[ⓒ픽사베이]

[디지털데일리 김보민기자] 올 2분기 랜섬웨어 피해 사례가 증가했다는 조사 결과가 나왔다. 공격 그룹은 오래된 취약점뿐만 아니라 제로데이 취약점을 공략해 침투를 시도한 것으로 나타났다.

7일 한국랜섬웨어대응협의체(KARA) 보고서에 따르면 올해 2분기 랜섬웨어 피해 사례는 1321건으로, 지난해 동기보다 약 3% 증가했다. 전분기와 비교해도 18% 늘어난 규모다.

록빗(LockBit)그룹은 국제 수사기관 공조로 활동이 위축되는 듯 했지만, 가장 많은 피해자를 낳았다. 산업으로 보면 제조업, 국가로 보면 미국을 향한 공격이 가장 많았다. 록빗 외에도 플레이, 랜섬허브, 잉크, 메두사 등 랜섬웨어그룹은 제조업과 더불어 의료, 기관을 향한 공격을 가했다.

랜섬웨어그룹이 취약점을 악용한다는 사실은 어제 오늘 일이 아니다. 최근 급격한 성장세를 보인 랜섬허브(RansomHub)그룹은 오랜 취약점인 'CVE-2020-1472'를 악용했다. 해당 취약점은 윈도 서버에서 도메인 사용자 인증을 담당하는 서비스에 콘트롤러와 보안 채널 연결을 무력화시키는 데 특화돼 있다. 이를 통해 관리자 권한을 획득하는 방식이다. 랜섬허브는 시스템 관리자 권한을 얻은 뒤 랜섬웨어 공격을 수행했다.

아키라 그룹과 에스테이트 랜섬웨어 역시 발견된 지 1년이 넘은 취약점 'CVE-2023-27532'를 악용한 것으로 확인됐다. 공격자는 해당 취약점을 통해 침투해 계정을 생성한 뒤 보안 솔루션을 무력화하는 방식을 택했다.

오래된 취약점뿐만 아니라 제로데이 영역을 발견한 정황도 확인됐다. 제로데이 공격이란 아직 공표되지 않거나 조치 방안이 발표되지 않은 보안 취약점을 이용한 방식을 뜻한다. 블랙바스타(BlackBasta)그룹은 '윈도 에러 리포팅 서비스' 권한 상승 취약점 'CVE-2024-26169'를 악용해 초기 침투를 시도했다. 보고서에 따르면 공격이 이뤄진 시기는 취약점 패치가 공개되기 전이다.

랜섬웨어 공격은 하반기에도 계속되고 있다. KARA는 랜섬웨어 그룹이 다양한 취약점으 악용해 초기 침투를 수행하고 있는 만큼, 예방 차원에서 최신 버전의 시스템 환경을 유지하는 작업이 필요하다고 강조했다.