(1) Ransomware?
랜섬웨어(Ransomware)는 멀웨어(Malware)의 일종으로, 사용자의 파일이나 시스템을 암호화하거나 접근을 차단한 뒤, 이를 복구해주는 대가로 금전을 요구하는 공격 방식을 의미한다.
전파 방식과 감염 초기 단계는 Trojan과 동일하되, 감염 후 행동(파일 암호화)이 특화된 형태이다. 즉 Ransomware는 Trojan의 파생된 변종 악성 코드라는 것을 의미
(2) 감염 및 유포 방식
Trojan과 마찬가지로 유포 및 감염은 사회공학 기법을 사용하거나 보안 취약점(RDP)을 이용하여, 브루트 포싱하여 내부 네트워크로 확산 하는 방식으로 공격을 진행
소프트웨어 취약점(Exploit)을 활용하여 운영체제나 소프트웨어의 취약점을 악용하는 경우도 존재(예시 : EternalBlue 취약점 → WannaCry)
(3) 작동원리
- 유포 방식에 따라 시스템에 침투(Initial Infection)
- 로드 및 실행 (Payload Execution)
- 암호화 준비(Pre-encryption Phase) → 시스템 탐색 및 백업/복구 기능 무력화
- 파일 암호화(Encryption Phase) → 로컬 파일 암호화(AES+RSA) 및 확장자 변경
*선택적으로 C2서버와 통신하는 Ransomware 케이스도 존재
(4) 주요 사용 기술
Ransomware의 주요 기술은 파일을 조작하여 훼손하고 암호화하고, 이를 분석할 수 없게 처리하는 것이 주요 기술입니다.
<Ransomware 주요기술>
(5) 실제 사례(최근 포함)
시장의 파이도 크고, 악성 코드 공격 시장 측면에서 절대로 작은 시장이 아니기에 많은 굵직한 사례를 현재까지 多
2024년 6월 영국 국가 보건 서비스(NHS)가 Ransomware 공격에 환자 데이터를 도난
(6) 융합형 공격 사례
| 유형 | 설명 | 대표 사례 |
|---|---|---|
| 공급망 공격(Supply Chain Attack) | 소프트웨어 공급업체를 감염시켜 고객사로 확산 | Kaseya VSA (REvil), SolarWinds |
| APT + 랜섬웨어 | APT 기법(장기 침투 및 정보 수집)과 결합 → 정확한 타겟팅 및 더 많은 피해 | WastedLocker (Evil Corp) |
| 랜섬웨어 + 봇넷 | 랜섬웨어가 봇넷 기능 포함 → 추가 악성코드 설치, DDoS 공격 수행 | TrickBot + Ryuk |
| 클라우드 서비스 타겟팅 | 클라우드 백업 및 스토리지도 암호화 → 복구 무력화 | Nefilim, DarkSide |
(7) 대표 패밀리 / 변종
Ransomware 패밀리/변종을 분류할 때, 초기형과 대규모 감영형, RaaS 기반으로 분류
<Ransomware 대표 패밀리>
| 초기형 (2013~2016) | Locky |
|---|---|
| 대규모 감염형 (2017~2018) | WannaCry |
| RaaS 기반 (2019~현재) | REvil, LockBit |
(8) 대응 방안
Ransomeware는 공격을 허용 이후에 암호화에 집중적으로 공격의 비중을 두고 있는 기술이기에, 대응을 하기보단 초기 진입을 막는 것이 중요하다.
- 백업 및 패치 관리
- 이상 행위 탐지, 로그 모니터링
*초기 진입을 막지 못해 감염되었다면?
→ Ransomware 공격 Section과 빠르게 격리 후, 백업을 통해 복원하는 방식으로 대응
(9) 리버싱 분석 포인트
<분석 포인트>
| 암호화 로직 | 알고리즘, 키 생성 방식, 확장자 변경 방식 |
|---|---|
| C2 통신 | 주소, 포트, 전송 내용 |
| 탐지 우회 | 샌드박스 탐지, AV 우회 |
| 리소스/경고 메시지 | 랜섬노트, 공각자 이메일, 피해자 ID |
| 복구 가능성 | 키 추출 여부 |
<리버싱 포인트>
| 암호화 방식 파악 | 암호화 루프 추적, API 호출 확인 |
|---|---|
| 복호화 도구 제작 | 키 추출, 암호화 방식 역공학 |
| 감염 방식 및 유포 경로 확인 | EntryPoint → Dropper 분석 |
| IOC 및 대응 수단 수집 | 파일 경로, 도메인, 레지스트리 등 추출 |
(10) 유행시기 및 트랜드
Ransomware의 트랜드는 패밀리 분류에서와 같이 초기-확산기-대형 피해 발생기-RaaS로 변화하는 양상을 보여줬고, 현재는 Rust와 같은 고급 언어로 작성된 빠르고 탐지가 어려운 랜섬웨어로 변화, 대표 사례로 BlackCat, LockBit 3.0이 존재
(11) 향후 전망 및 진화 가능성
Ransomware 시장이 점점 커지면서, CAGR의 상승률도 가파르게 오르고 있다.
그에 따라 RaaS가 배포되면서 다량의 Ransomware 공격의 빈도 또한 늘어나고 있다.
또한 Rust와 같은 빠르고 탐지가 어려운 Ransomware의 개발로 감염 후, 네트워크 확장성과 감염의 속도가 빨라져, 실시간 로그 탐지 및 대응이 어려울 것으로 전망
