새로운 RaaS 조직 등장하는데…랜섬웨어 공격, 알면서도 당한다

실시간
뉴스

보안

새로운 RaaS 조직 등장하는데…랜섬웨어 공격, 알면서도 당한다

디지털데일리 발행일 2025-04-14 10:30:54

김보민 기자

URL복사

이스트시큐리티 알약, 1분기 랜섬웨어 공격 6.4만건 차단

[디지털데일리 김보민기자] 신규 서비스형랜섬웨어(RaaS) 조직이 잇따라 등장하면서 보안 조치를 강화할 필요성이 커졌지만, 피해가 이어지고 있다는 조사 결과가 나왔다. 특히 알려진 취약점을 악용한 공격이 늘고 있어 주의가 필요할 것으로 보인다.

보안 기업 이스트시큐리티는 2025년 1분기 보안 프로그램 '알약'이 랜섬웨어 행위 기반 사전 차단 기능을 통해 총 6만3909건의 랜섬웨어 공격을 차단했다고 14일 발표했다. 하루 평균 694건의 랜섬웨어 공격을 차단한 셈이다.

이스트시큐리티 시큐리티대응센터(ESRC) 관계자는 "이미 알려진 취약점을 이용한 랜섬웨어 공격이 지속되고 있다"고 설명했다.

이스트시큐리티는 신규 RaaS 조직이 잇따라 등장하고 있다는 점을 주목했다. RaaS는 사이버 범죄자가 랜섬웨어를 배포하고 관리하는 데 필요한 도구(툴)는 물론, 관련 서비스를 제공하는 일종의 사업 모델이다. 지난해 말부터 올 초 새로 등장한 RaaS 조직으로는 모피어스(Morpheus), 아누비스(Anubis), 반헬싱(VanHelsing)이 있다.

모피어스는 2024년 12월에 등장한 랜섬웨어로, RaaS 모델을 기반으로 영향력을 키우며 정부기관과 대기업을 집중 공격하고 있다. 모피어스 랜섬웨어는 윈도 암호화 API를 이용해 파일을 암호화하면서도 파일 확장자가 변경되지 않는 점이 특징이다. 전문가들은 모피어스가 2024년 중반 등장한 헬캣(HellCat) 랜섬웨어와 유사한 페이로드를 사용하고 있고, 동일한 빌더 또는 코드베이스를 공유하고 있을 가능성을 주목하고 있다.

같은 시기 등장한 아누비스 랜섬웨어는 윈도, 리눅스, ESXi 등 다양한 공격 플랫폼을 지원한다. 제휴사에 수익화 모델을 제공하는 것이 특징이다. 아울러 차차(ChaCha) 및 ECIES 암호화 알고리즘을 사용해 고급 기술을 갖춘 것으로 확인됐다. 올해 3월에는 반헬싱이라는 RaaS가 새롭게 등장했다. 이 조직은 등장 직후 3건의 피해 사례를 기록했다.

알려진 취약점을 악용한 초기 침투도 계속되고 있다. 대표적으로 해커그룹 모라(Mora_001)은 포티넷 방화벽에서 발견된 CVE-2024-55591 및 CVE-2025-24472 인증 우회 취약점을 활용해 슈퍼블랙 랜섬웨어를 유포하고 있다. 슈퍼블랙은 유출된 록빗(LockBit) 3.0 빌더를 기반으로 제작됐고, 페이로드 구조와 암호화 방식이 동일하다는 특징이 있다.

이스트시큐리티 ESRC 관계자는 "보안 담당자들은 사내 인프라 점검을 통해 알려진 취약점을 패치해야 하고, 패치 적용이 어려운 상황이라면 추가 보안 조치를 진행하고 데이터 백업을 통해 랜섬웨어 피해를 최소화할 수 있도록 해야 한다"고 말했다.