>
연구(Insikt)

호주의 랜섬웨어 동향: 2021~2022년

게시일: 2022년 8월 4일
작성자: Insikt Group®

Executive Summary

랜섬웨어 위협 행위자들은 전 세계적으로 공격이 증가함에 따라 계속해서 적응하고 진화하고 있습니다. 호주의 랜섬웨어 동향도 비슷한 궤적을 보이고 있습니다. 서비스형 랜섬웨어(Raas)의 확대로 인해 랜섬웨어 조직을 차단하려는 전 세계 법 집행 기관의 노력에도 불구하고 랜섬웨어에 더 쉽게 접근할 수 있게 되었습니다. 러시아의 우크라이나 침공과 같은 지정학적 사건으로 인해 랜섬웨어가 감소했지만 전체적인 추세는 계속 증가하고 있습니다. 다크 웹과 특수 액세스 포럼의 초기 액세스 브로커(IAB)는 랜섬웨어 조직이 손상된 네트워크에 액세스하는 데 필수적입니다. 랜섬웨어 페이로드를 배포하기 전에 위협 공격자는 정찰, 측면 이동, 액세스 에스컬레이션 및 유출을 위해 "전구 멀웨어"를 사용합니다. 조직은 네트워크에서 초기 액세스 판매를 식별하거나 전조 멀웨어를 탐지할 수 있다면 랜섬웨어 공격을 완화할 수 있습니다.

주요 연구 결과

  • 호주는 지정학적 사건에도 불구하고 월 평균 6건의 랜섬웨어 공격이 보고되어 눈에 띄게 감소했습니다. 2021년과 2022년에 호주를 가장 많이 공격한 범죄 집단은 LockBit이었습니다. 그러나 2021년 11월 말 러시아에 기반을 둔 새로운 랜섬웨어 그룹인 ALPHV가 등장하여 2022년 호주를 겨냥한 주요 랜섬웨어 조직으로 급부상했습니다.
  • 랜섬웨어 공격을 성공적으로 수행하려면 위협 공격자는 손상된 네트워크에 원격으로 액세스해야 합니다. 랜섬웨어 조직은 종종 다크 웹과 특수 액세스 포럼에서 이러한 액세스 권한을 구매합니다. 이후 공격자들은 '전구 멀웨어'를 사용하여 시스템을 측면으로 이동하고 권한을 상승시키며 랜섬웨어를 배포합니다.

배경

최근 몇 년 동안 랜섬웨어는 대부분의 현대 IT 기반 경제와 사회에 심각한 위협이 되고 있습니다. 랜섬웨어가 스파이 활동과 같은 다른 사이버 위협과 차별화되는 점은 사회에 직접적인 해를 끼치고 영향을 받는 시스템을 사용할 수 있다는 점입니다.

호주에서는 랜섬웨어 공격으로 인해 병원이 중요한 환자의 의료 기록에 액세스할 수 없어 선택적 수술이 크게 지연되고(Eastern Health), 통신 공급업체가 중단되고(Schepisi Communications), 카지노가 강제 폐쇄되고(Federal Group), 민감한 공무원 데이터가 도난당하고(Frontier Software), 텔레비전 네트워크가 오프라인 상태가 되는 등 많은 조직에 심각한 문제가 발생했습니다(Channel Nine). 랜섬웨어 사고는 즉각적인 영향 외에도 매출 손실, 불신, 좌절감을 초래합니다.

랜섬웨어 공격의 영향으로 전 세계 정부는 랜섬웨어를 심각한 위협으로 인식하게 되었고, 전 세계 사법 당국은 랜섬웨어 운영자( 예: Egregor)와 조력자(예: Emotet)에 대해 강력한 단속을 실시하고 있습니다. 호주에서는 새로운 법률에 따라 법 집행 기관에 사이버 범죄 행위자를 방해할 수 있는 추가 권한을 부여하고 중요 인프라 위험 관리 프로그램을 의무화했습니다. 하지만 이러한 노력에도 불구하고 전 세계와 호주에서 랜섬웨어 공격은 계속 증가하고 있습니다. 이 보고서는 2021년 1월 1일부터 2022년 6월 30일까지 호주의 랜섬웨어 상황에 대한 개요를 제공합니다. 과거 랜섬웨어 공격에 대한 고유한 데이터 세트를 기반으로 호주에 특화된 심층 분석을 제공합니다. 마지막으로, 이 보고서는 랜섬웨어가 배포되기 전 단계의 중요성을 강조하는 이전 Recorded Future 연구 결과를 바탕으로 작성되었습니다. 이 보고서는 다크 웹 마켓플레이스에서 판매되는 호주의 초기 액세스 권한과 호주를 겨냥한 초기 단계 멀웨어를 식별하여 조직이 랜섬웨어를 방어할 수 있는 방법을 설명합니다.

기술 분석

데이터 수집

이 보고서의 분석은 지난 2년 동안 수집된 공개적으로 이용 가능한 정보로 구성된 고유한 데이터 세트를 기반으로 합니다. 대부분의 랜섬웨어 공격은 전용 유출 웹 사이트(랜섬웨어 운영자가 대중과 소통하고 피해자를 갈취하기 위해 사용하는 웹 사이트)를 통해 탐지되었습니다. 소수의 공격은 영향을 받은 조직의 공개 보고서, 뉴스 보도 및 기타 출처를 통해 수동으로 발견되었습니다. 대부분의 국가와 마찬가지로 호주에는 현재 랜섬웨어 공격에 대한 보고 의무가 없기 때문에 실제 공격 건수는 훨씬 더 많을 것으로 보입니다. 초기 접속권 판매는 모두 익스플로잇 및 XSS 포럼과 같은 다크웹 마켓플레이스에서 이루어졌습니다. 멀웨어 이벤트는 네트워크를 통해 이동하는 데이터를 모니터링 및 분석하고 공격자를 탐지하고 대응하는 메커니즘을 제공하는 업계 용어인 네트워크 트래픽 분석(NTA)을 통해 탐지되었습니다. 레코디드 퓨처는 공격자가 공격을 구축, 준비, 실행할 때 공격자와 피해자 사이의 중간 지점 트래픽을 관찰하는 방법을 개발했습니다. 이 컬렉션은 호주를 표적으로 삼는 악성 트래픽의 일부 샘플일 뿐이며, 실제 악성 명령 및 제어(C2) 인프라에 비콘을 보내는 호주 IP의 수는 훨씬 더 많을 것입니다.

대부분의 사이버 위협과 마찬가지로 랜섬웨어 공격은 계속해서 적응하고 진화합니다. 이전에 이러한 진화를 형성한 피해자 기법, 기술 고도화, 조직 구조, 갈취 수법의 5가지 주요 트렌드에 대해 보고한 바 있습니다.

랜섬웨어 공격은 호주를 비켜가지 않았으며, 언론 보도 증가와 범죄 조직이 랜섬웨어에 더 쉽게 접근할 수 있도록 하는 서비스형 랜섬웨어(Raas) 모델의 확장으로 인해 기록된 공격 건수가 계속 증가하고 있습니다. 이 섹션에서는 2021년과 2022년에 호주 조직을 대상으로 한 랜섬웨어 공격에 대한 개요를 제공합니다.

랜섬웨어 증가 추세

2021년 1월 1일부터 2022년 6월 30일까지 호주에서 보고된 랜섬웨어 공격 건수는 전 세계 랜섬웨어 공격과 비슷한 추세를 이어가고 있습니다(그림 1 참조). 랜섬웨어 공격의 이러한 증가 추세는 다음과 같은 요인에 기인하는 것으로 보입니다:

  • 활동 증가: 2022년에 호주를 표적으로 삼은 랜섬웨어 조직의 수는 줄었지만, 2021년에 이미 활동했던 대규모 조직은 2022년에 활동을 더욱 늘렸습니다(그림 2 참조). 다른 이유도 있겠지만, 이는 RaaS 모델의 강화 효과와 관련이 있을 수 있습니다.
  • 더 높은 몸값과 더 많은 언론 보도: 더 높은 몸값이 요구되면서 피해 조직이 대중의 관심을 끌지 않고 몸값을 지불하기가 더 어려워졌습니다. 또한 랜섬웨어 사고를 보고하라는 정부의 압력으로 인해 호주에서 보고된 공격 건수가 증가했습니다.

ransomware-trends-australia-2021-2022-fig-1.png 그림 1: 2021년 1월 1일부터 2022년 6월 30일까지 호주 및 전 세계에서 발생한 월별 랜섬웨어 공격(출처: Recorded Future)

시사 뉴스에 대한 반응

2021년 1월 1일부터 2022년 6월 30일까지 호주 조직을 대상으로 한 랜섬웨어 공격은 월 평균 6건 발생했으며, 일부 예외를 제외하고는 다음과 같습니다:

  • 러시아/우크라이나 분쟁: 2022년 2월 러시아의 우크라이나 침공을 앞두고 전 세계와 호주에서 랜섬웨어 공격이 감소했습니다. 하지만 이후 몇 달 동안 랜섬웨어의 수가 꾸준히 증가했습니다.
  • Conti가 해체됩니다: 2022년 5월 Conti가 공식적으로 해체되기 전, 이 그룹은 활동에 영향을 미칠 수 있는 몇 가지 문제를 겪었습니다. 2022년 2월, 콘티는 우크라이나를 회피한 후 공식적으로 러시아 편을 들었습니다. 이로 인해 Jabber 서버에서 6만 개가 넘는 메시지가 유출되었습니다. 2022년 5월, 대부분의 그룹 서버가 종료되었다는 보고가 있었습니다.
  • 푸틴과 바이든의 만남: 2021년 6월의 공격 감소는 2021년 7월 9일에 예정된 푸틴과 바이든의 회담과 관련이 있는 것으로 추정됩니다. 이 회의에서는 랜섬웨어가 주요 의제로 다뤄졌고, 많은 랜섬웨어 운영자들이 향후 정부의 관용에 대한 불확실성을 우려했습니다.
  • 이모텟 차단: 2021년 2월의 공격 감소는 중요한 랜섬웨어 조력자인 Emotet이 중단되고 이 무렵 Egregor가 종료된 것과 관련이 있는 것으로 추정됩니다. 2021년 11월, 네트워크 트래픽을 암호화하고 영향을 받는 네트워크에서 시스템 정보를 수집할 수 있는 업데이트된 변종으로 이모텟이 다시 등장했습니다 .

이러한 예외는 Recorded Future의 랜섬웨어 추적기에서 글로벌 관점에서 랜섬웨어 공격을 살펴볼 때에도 관찰할 수 있습니다.

호주 타겟팅 대상

2021년 LockBit 2.0은 호주에서 가장 활발한 랜섬웨어 갱단이었으며 2022년 6월 LockBit 3.0으로 브랜드를 변경하여 2022년에도 계속 활동하고 있습니다. 그런데 2021년 10월 REvil(Sodinokibi)이 종료되고 몇 주 후 BlackMatter가 사라지면서 정교한 랜섬웨어 제휴 프로그램에 새로운 시장 기회가 열렸습니다. 2021년 11월 말 러시아에 기반을 둔 새로운 랜섬웨어인 ALPHV가 등장하여 2022년 호주를 겨냥한 주요 랜섬웨어 갱단으로 급부상했습니다. APLHV와 REvil 및 BlackMatter 간의 유사성은 잘 알려져 있습니다. 눈에 띄는 점은 2021년에 랜섬웨어 갱단의 소행으로 볼 수 없는 공격이 많이 발생했다는 것입니다. 이는 조직이 자신을 공격한 갱단을 모르거나 밝히지 않으려 하기 때문일 수 있으며 해당 사건이 갈취 웹사이트에 나타나지 않기 때문일 수도 있습니다.

ransomware-trends-australia-2021-2022-fig-2.png 그림 2: 2021년 1월 1일부터 2022년 6월 30일까지 호주에서 발생한 랜섬웨어 공격의 그룹 및 연도별 현황(출처: Recorded Future)

초기 액세스

조직이 랜섬웨어의 피해를 입게 되면 방어 및 예방 전략이 효과를 발휘하기에는 너무 늦기 때문에 조직은 피해 제어로 전환합니다. 이전 보고서에서는 다크웹과 스피크 액세스 포럼에서 손상된 네트워크에 대한 원격 액세스와 손상된 자격 증명을 판매하는 '초기 액세스 브로커(IAB) '의 중요성을 강조한 바 있습니다. 이러한 액세스는 위협 행위자가 멀웨어 로더 배포, 데이터 유출, 궁극적으로 랜섬웨어 배포와 같은 공격을 성공적으로 수행하기 위해 필요합니다. 공격의 초기 단계에서 완화 및 예방 전략이 가장 효과적일 수 있습니다. 조직은 네트워크에서 유출된 인증 정보, 영업 액세스 권한 또는 멀웨어를 식별하여 랜섬웨어 공격의 위험을 줄일 수 있습니다.

호주 액세스 판매

호주 기업 네트워크에 대한 액세스 권한은 종종 Exploit, XSS 또는 Ramp와 같은 최상위 러시아어 포럼에서 판매되지만, BreachForums 또는지금은 없어진 Raid 포럼과 같은 하위 또는 중간 수준의 영어권 포럼에서 액세스 권한을 구매할 수도 있습니다.

ransomware-trends-australia-2021-2022-fig-3.png **그림 3: **다크웹 및 특수 액세스 포럼에서 판매되는 호주 액세스 권한(출처: Recorded Future)

ransomware-trends-australia-2021-2022-fig-4.png 그림 4: 익스플로잇 및 XSS 포럼에서 판매되는 호주 액세스 권한(출처: 레코디드 퓨처)

위협 행위자들이 지속적으로 호주 액세스 권한을 판매한다는 측면에서 뚜렷한 경향은 없으며, 이러한 위협 행위자들은 단순히 기회주의적일 수 있으며 체포를 피하기 위해 자주 가명을 변경합니다.

전구체 멀웨어

랜섬웨어는 초기 공격의 마지막 단계로, 위협 공격자는 랜섬웨어 페이로드를 배포하기 전에 정찰, 측면 이동, 액세스 에스컬레이션 및 유출을 위해 '전구 멀웨어'에 의존하는 경우가 많습니다. 트릭봇과 이모텟은 각각 콘티와 류크 랜섬웨어의 전구 멀웨어로 관찰된 바 있습니다. 서비스 종료 전, IcedID는 Egregor 및 Maze 랜섬웨어 공격과 연관되어 있었으며 이후 REvil 배포에서 관찰되었습니다. 칵봇은 최근 블랙 바스타 랜섬웨어 공격에서 측면 이동에 사용되었으며, 이전에는 프로록 및 에그리고르 랜섬웨어 공격에서도 관찰된 바 있습니다. 올해 초에 드리덱스는 엔트로피 랜섬웨어 캠페인과 연결되었지만, 이전에는 이블 코퍼레이션과 그들의 웨이스트 락커 및 하데스 랜섬웨어와도 관련이 있었습니다. 조직이 탐지 규칙 배포 또는 네트워크 모니터링을 통해 전구 멀웨어를 탐지하고 치료할 수 있다면 랜섬웨어를 방어하는 데 도움이 될 수 있습니다. 한 가지 예를 들자면, 2021년 11월 27일 호주의 에너지 공급업체인 CS Energy는 랜섬웨어 공격에 성공한 후 Conti 랜섬웨어의 갈취 웹사이트(Conti.News)에 등재되었습니다. 전날 CS Energy의 VPN으로 확인된 IP 주소가 IP 149.154.159[.]165와 통신하는 것이 관찰되었습니다, 당시에는 코발트 스트라이크 명령 및 제어(C2) 서버로 의심받던 서버였습니다.

ransomware-trends-australia-2021-2022-fig-5.png 그림 5: 호주를 표적으로 삼는 멀웨어(네트워크 트래픽 분석) (출처: Recorded Future)

2021년 11월부터 호주를 타깃으로 한 멀웨어 이벤트가 NTA를 통해 탐지된 가운데, 칵봇은 2021년 11월부터 2022년 2월까지 글로벌 중단 캠페인에 이어 활발한 캠페인을 벌였습니다. 최근 이모텟은 2021년 1월 사법 당국에 의해 폐쇄된 후 인프라를 재구축한 후 2022년 5월과 6월에 호주를 타깃으로 삼고 있습니다.

전망

호주의 랜섬웨어에 대한 이 보고서에서는 지난 18개월 동안의 주요 동향에 대해 설명합니다. 이러한 추세에는 대규모 조직을 공격하려는 경향, 기술 고도화, 사실상 비즈니스 모델이 된 RaaS로 인한 조직 전문화, 다각적인 갈취 수법, 국제화 증가 등이 포함됩니다. 이러한 추세 속에서 2021년 1월부터 2022년 6월까지 호주에서 랜섬웨어 공격 건수가 증가했습니다.

이전 추세로 볼 때, Egregor, REvil, Darkside와 같은 랜섬웨어 조직을 방해하려는 전 세계적인 노력과 Conti의 경우처럼 자발적인 해체에도 불구하고 랜섬웨어 공격은 계속 증가할 가능성이 높습니다. 이전 그룹이 몰락하면 LockBit과 같은 다른 그룹이 그 자리를 차지하게 되고, ALPHV와 같은 새로운 그룹이 등장할 것입니다.

위협 행위자는 새로운 액세스 권한을 확보하고 기존 액세스 권한을 개발하기 위해 IAB와 전구 멀웨어를 계속 사용할 것입니다. 랜섬웨어 조직이 손상된 네트워크에 처음 접근하는 가장 효과적인 방법 중 하나는 다크 웹과 특수 액세스 포럼에서 IAB를 사용하는 것입니다. 이 액세스 권한을 획득하면 랜섬웨어 공격자는 권한 상승, 측면 이동 및 데이터 유출을 위해 전구 멀웨어를 사용합니다. 조직이 랜섬웨어 공격을 방어하는 가장 효과적인 방법은 초기 접속 판매를 식별하거나 네트워크에서 악의적인 활동을 탐지하는 것입니다.

관련