컨슈머타임스=김동역 기자 | 보안 전문 기업 이스트시큐리티는 2024년 3분기 '알약'의 랜섬웨어 행위기반 사전 차단 기능을 통해 총 6만9582건의 랜섬웨어 공격을 차단했다고 29일 발표했다.
이스트시큐리티는 올 3분기 주요 랜섬웨어 동향으로 △ESXi, 랜섬웨어 공격자들의 주요 공격 타깃으로 부상 △리눅스 시스템을 타깃으로 하는 랜섬웨어 증가 △랜섬웨어 조직의 공격 전술 변화 △3분기 새로 등장한 RaaS 등이다.
ESXi는 VMware의 하이퍼바이저로 ESXi 서버를 장악하면 해당 서버에서 동작 하는 다양한 가상 머신에 영향을 미칠 수 있기 때문에 랜섬웨어 공격자들의 주요 공격 대상으로 자리 매김했다. 지난 6월 ESXi 에서 인증 우회 취약점이 발견된 이후 아키라 및 블랙바스타, 블랙바이트 등 다수의 해킹 그룹이 공격에 해당 취약점을 적극적으로 악용했다.
이스트시큐리티는 최근 발견된 Play 랜섬웨어의 변종 역시 VMware ESXi 환경을 대상으로 공격하도록 설계된 것으로 확인, VMware ESXi를 타깃으로 하는 랜섬웨어의 공격은 지속되고 더욱 거세질 것으로 예상했다.
윈도우보다 상대적으로 안전하다고 간주된 리눅스 서버를 공격하는 랜섬웨어도 증가하고 있다. Mallox 랜섬웨어의 변종이 발견 되었는데 윈도우 시스템만을 공격 대상으로 한 기존과 다르게 리눅스 시스템도 공격할 수 있도록 업데이트 됐다.
또한 3분기에도 새로운 RaaS 그룹들이 등장했다. Cicada3301은 3분기에 새롭게 등장한 RaaS 그룹으로 과거의 유명한 암호학 퍼즐의 이름을 차용했다. Rust로 작성돼 크로스플랫폼을 지원하며 주로 VMware ESXi와 같은 가상화 환경을 공격 대상으로 삼고 있다.
이 밖에도 LockBit 3.0 빌더를 사용해 제작된 브레인사이퍼가 발견됐는데 이 랜섬웨어는 특별히 맞춤형으로 제작된 버전을 이용해 인도네시아의 국가 데이터 센터를 공격하기도 했다.
이스트시큐리티 ESRC 관계자는 "랜섬웨어 공격자들이 피해를 극대화시키고자 ESXi와 같은 가상화 솔루션을 주요 공격 타깃으로 삼고 있다"며 "보안 담당자들이 최신 보안 패치를 신속히 적용하고 사용자 접근 권한을 철저히 관리하며 정기적인 교육과 모니터링을 통해 사이버 공격에 대한 예방 및 대응 체계를 강화해야 한다"고 말했다.
