4분기 멀웨어 트렌드: 랜섬웨어와 데이터 침해로 점철된 한 해, 정교한 솔라윈즈 공격으로 마무리되다

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽어보려면 여기를 클릭하세요, 를 클릭하여 보고서를 PDF로 다운로드하세요.

이 보고서는 2020년 한 해 동안 멀웨어 사용, 배포 및 개발 동향을 분석하는 분기별 시리즈를 이어갑니다. 인식트 그룹은 2020년 10월 1일부터 12월 31일까지 주요 뉴스, 보안 공급업체 보고, 멀웨어, 취약성, 보안 침해, 다크웹 및 언더그라운드 포럼에 대한 기술 보고, 주요 멀웨어 동향을 살펴보기 위해 Recorded Future® 플랫폼을 사용했습니다. 아래에 요약된 트렌드는 기술에 큰 영향을 미친 전술, 기법 및 절차(TTP)를 보여줍니다. 이 보고서는 위협 헌터와 보안관제센터(SOC) 팀이 이 연구와 데이터를 기반으로 헌팅 기술과 탐지 방법의 우선순위를 정하여 보안 태세를 강화하는 데 도움을 줄 것입니다.

Executive Summary

2020년 4분기에도 랜섬웨어 공격자들은 수익성을 높이기 위해 데이터 탈취에 더 중점을 두는 기회주의적 사고방식을 가지고 캠페인을 진행했습니다. 분기 내내 이그레고르 활동이 증가했는데, 이는 Maze 랜섬웨어 운영자가 종료되었기 때문인 것으로 보입니다. 또한, 연중 지속적으로 사용되는 랜섬웨어인 Ryuk의 사용이 정체되면서 Conti 랜섬웨어가 증가했습니다.

2020년 가장 중요한 멀웨어 공격이 이 기간에 공개되었는데, 바로 SolarWinds 공급망 공격입니다. 이 공격은 공격의 정교함과 함께 미국 정부 기관을 비롯해 여러 유명 기술 회사 및 사이버 보안 조직을 포함하여 영향을 받은 주요 조직이 많았기 때문에 그 규모가 컸습니다. 이 공격은 아직 조사 중이므로 표적이 된 피해자 및 사용된 인프라와 관련된 자세한 정보가 더 공개될 가능성이 높습니다.

2020년 11월 미국 대통령 선거를 앞두고 여러 조직이 협력하여 멀웨어의 인프라를 제거하기 위해 노력하면서 2020년 4분기에는 한 해 동안 끈질기고 두드러진 모습을 보인 트릭봇이 주목할 만한 변화를 겪었습니다. 이러한 노력으로 트릭봇의 활동이 일시적으로 감소했지만, 위협 공격자들이 트릭봇에서 멀어지면서 개별 로더 멀웨어인 칵봇의 사용은 증가하기 시작했습니다.

마지막으로, 이번 분기에는 안드로이드 멀웨어가 계속해서 모바일 멀웨어 환경을 지배했으며, 두 가지 새로운 모바일 멀웨어 변종이 등장했습니다. 코로나19를 테마로 한 모바일 멀웨어 활동은 상반기에 최고치를 기록한 후 3분기에 감소했지만, 4분기에는 활동이 다시 증가하는 것을 Insikt Group에서 관찰했습니다. 특히 바이러스 확진자가 증가하고 코로나19 백신과 관련된 디지털 자산(웹사이트, 모바일 애플리케이션 등)이 공개되면서 더욱 그러했습니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽어보려면 여기를 클릭하세요, 를 클릭하여 보고서를 PDF로 다운로드하세요.