랜섬웨어의 취약점 악용 패턴 및 대상: 2017–2023년

Insikt의 최근 연구는 지난 6년간의 랜섬웨어 및 취약성 동향을 분석하고 향후 예상되는 문제에 대한 인사이트를 제공합니다.

랜섬웨어 그룹은 소수의 그룹만 공격하는 취약점과 여러 그룹이 광범위하게 악용하는 취약점 두 가지로 구분하여 취약점을 악용합니다. 각 카테고리마다 다른 방어 전략이 필요합니다. 특정 취약점을 노리는 그룹은 특정 패턴을 따르는 경향이 있으므로 기업은 방어 및 감사의 우선순위를 정할 수 있습니다. 고유한 익스플로잇을 방어하려면 공격 대상과 취약점 유형을 이해하는 것이 중요합니다.

지난 5년간 취약점 악용과 관련된 랜섬웨어 그룹의 수를 보여주는 다이어그램. 예를 들어, '한 그룹'이란 취약점을 악용한 것으로 보고된 그룹이 한 그룹에 불과하다는 의미입니다(출처: Recorded Future).

널리 악용되는 취약점은 일반적으로 사용되는 기업용 소프트웨어에서 발견되며 모의 침투 테스트 모듈과 같은 다양한 수단을 통해 쉽게 악용됩니다. 이러한 익스플로잇을 방어하려면 취약점을 즉시 패치하고, 개념 증명을 위한 보안 연구를 모니터링하며, 특정 취약점이 아닌 기술 스택 구성 요소에 대한 참조를 찾기 위해 범죄 포럼을 관찰해야 합니다.

일부 랜섬웨어 그룹은 세 가지 이상의 취약점을 악용하는 데 집중하여 방어자에게 명확한 표적 공격 패턴을 제공합니다. 예를 들어, CL0P는 Accellion, SolarWinds, MOVEit의 파일 전송 소프트웨어를 타깃으로 삼았습니다. 대부분의 표적이 되는 취약점은 널리 사용되는 기업용 소프트웨어에 있으며 쉽게 악용될 수 있습니다. 고유한 벡터를 필요로 하는 취약점은 일반적으로 소수의 그룹만이 악용합니다.

랜섬웨어 운영자와 계열사는 특정 취약점에 대해 거의 논의하지 않지만, 더 광범위한 사이버 범죄 생태계에서는 공개적으로 알려진 취약점과 잠재적인 악용 대상을 식별하고 논의합니다.

2024년을 내다보면, 생성형 AI의 발전으로 사이버 범죄자들의 기술 장벽이 낮아져 더 많은 제로데이 취약점을 악용할 수 있습니다. 이전에는 이러한 위협으로부터 자유로웠던 Google 및 Apple과 같은 주요 공급업체가 랜섬웨어 캠페인의 표적이 될 수 있습니다. 또한, 암호화폐 가치가 반등할 경우 강탈 그룹이 취약점 연구에서 암호화폐 지갑 도난으로 초점을 전환할 수 있습니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.