엔터프라이즈 보안 팀은 모니터링해야 하는 지속적으로 증가하는 랜섬웨어 위협 목록에 세 가지 랜섬웨어 변종을 추가할 수 있습니다.
Vohuk, ScareCrow 및 AESRT의 세 가지 변종은 대부분의 랜섬웨어 도구와 마찬가지로 Windows 시스템을 대상으로 하며 여러 국가의 사용자에 속한 시스템에서 상대적으로 빠르게 확산되는 것으로 보입니다. 이번 주 위협을 추적하고 있는 Fortinet의 FortiGuard Labs의 보안 연구원은 랜섬웨어 샘플이 회사의 랜섬웨어 데이터베이스 내에서 관심을 끌고 있다고 설명했습니다.
포티넷의 분석 XNUMX가지 위협 중 표준 랜섬웨어 도구임에도 불구하고 손상된 시스템의 데이터를 암호화하는 데 매우 효과적인 것으로 나타났습니다. Fortinet의 경고는 새로운 랜섬웨어 샘플 운영자가 어떻게 악성 코드를 배포하는지 식별하지 못했지만 일반적으로 피싱 이메일이 랜섬웨어 감염의 가장 일반적인 벡터라는 점에 주목했습니다.
점점 늘어나는 변종
Fortinet의 FortiGuard Labs의 선임 보안 엔지니어인 Fred Gutierrez는 "2022년 랜섬웨어의 성장이 미래의 상황을 나타낸다면 모든 보안 팀은 2023년에 이 공격 벡터가 훨씬 더 대중화될 것으로 예상해야 합니다."라고 말했습니다.
2022년 상반기에만 FortiGuard Labs가 식별한 새로운 랜섬웨어 변종의 수가 이전 100개월 기간에 비해 거의 10,666% 증가했다고 그는 말합니다. FortiGuard Labs 팀은 2022년 하반기에 5,400개에 불과했던 것과 비교하여 2021년 상반기에 XNUMX개의 새로운 랜섬웨어 변종을 문서화했습니다.
"새로운 랜섬웨어 변종의 이러한 성장은 주로 다크 웹에서 RaaS(Ransomware-as-a-Service)를 이용하는 더 많은 공격자 덕분입니다."라고 그는 말합니다.
그는 "또한 가장 불안한 측면은 거의 모든 부문 유형에서 대규모로 더 파괴적인 랜섬웨어 공격이 증가하고 있으며 2023년까지 계속될 것으로 예상한다는 것입니다."라고 덧붙였습니다.
표준이지만 효과적인 랜섬웨어 변종
Fortinet 연구원이 분석한 Vohuk 랜섬웨어 변종은 세 번째 버전인 것으로 보이며, 이는 작성자가 이를 적극적으로 개발하고 있음을 나타냅니다.
포티넷은 이 악성코드가 손상된 시스템에 "README.txt"라는 랜섬노트를 드롭해 피해자에게 고유 ID가 포함된 이메일을 통해 공격자에게 연락하도록 요청한다고 밝혔습니다. 이 메모는 피해자에게 공격자가 정치적인 동기가 아니라 금전적 이득에만 관심이 있음을 알립니다. 아마도 피해자가 요구된 몸값을 지불하면 데이터를 돌려받을 수 있다는 것을 안심시키기 위한 것 같습니다.
한편, “ScareCrow는 피해자의 컴퓨터에 있는 파일을 암호화하는 또 다른 전형적인 랜섬웨어”라고 Fortinet은 말했습니다. "'readme.txt'라는 제목의 랜섬노트에는 피해자가 공격자와 대화하는 데 사용할 수 있는 XNUMX개의 텔레그램 채널이 포함되어 있습니다."
랜섬 노트에는 구체적인 재정적 요구 사항이 포함되어 있지 않지만 피해자가 암호화된 파일을 복구하려면 몸값을 지불해야 한다고 가정하는 것이 안전하다고 Fortinet은 말했습니다.
보안 공급업체의 연구에서도 ScareCrow와 악명 높은 Conti 랜섬웨어 변종, 지금까지 가장 많은 랜섬웨어 도구 중 하나입니다. 예를 들어 둘 다 동일한 알고리즘을 사용하여 파일을 암호화하고 Conti와 마찬가지로 ScareCrow는 감염된 시스템에서 데이터를 복구할 수 없도록 WMI 명령줄 유틸리티(wmic)를 사용하여 쉐도우 복사본을 삭제합니다.
VirusTotal에 제출한 내용에 따르면 ScareCrow는 미국, 독일, 이탈리아, 인도, 필리핀 및 러시아의 시스템을 감염시켰습니다.
마지막으로 Fortinet이 최근 발견한 세 번째 새로운 랜섬웨어 제품군인 AESRT는 다른 두 가지 위협과 유사한 기능을 가지고 있습니다. 주요 차이점은 랜섬웨어가 랜섬 노트를 남기는 대신 공격자의 이메일 주소가 포함된 팝업 창과 피해자가 요구된 랜섬을 지불하면 암호화된 파일을 해독하기 위한 키를 표시하는 필드를 전달한다는 것입니다.
Crypto-Collapse가 랜섬웨어 위협을 늦출까요?
새로운 변종은 랜섬웨어 운영자가 기업 조직을 끊임없이 공격함에 따라 조직이 매일 처리해야 하는 길고 지속적으로 증가하는 랜섬웨어 위협 목록에 추가됩니다.
올해 초 LookingGlass가 분석한 랜섬웨어 공격 데이터에 따르면 확인된 랜섬웨어 공격 1,133건 2022년 상반기에만 절반 이상(52%)이 미국 기업에 영향을 미쳤습니다. LookingGlass는 가장 활동적인 랜섬웨어 그룹이 LockBit 변종 배후에 있으며 Conti, Black Basta 및 Alphy 랜섬웨어 배후에 있는 그룹임을 발견했습니다.
하지만 활동량은 일정하지 않다. 일부 보안 공급업체는 연중 특정 기간 동안 랜섬웨어 활동이 약간 둔화되는 것을 관찰했다고 보고했습니다.
예를 들어, 중간 보고서에서 SecureWorks는 XNUMX월과 XNUMX월의 사고 대응 작업에서 성공적인 새로운 랜섬웨어 공격이 발생하는 속도가 약간 느려졌다고 말했습니다.
SecureWorks는 이러한 추세가 적어도 부분적으로는 올해 Conti RaaS 운영 중단 및 우크라이나 전쟁의 파괴적인 영향 랜섬웨어 조직에서.
ITRC(Identity Theft Resource Center)의 또 다른 보고서는 랜섬웨어 공격 20% 감소 보고 이로 인해 2022년 XNUMX분기에 비해 XNUMX년 XNUMX분기에 위반이 발생했습니다. SecureWorks와 마찬가지로 ITRC는 감소가 우크라이나 전쟁과 관련이 있으며 특히 랜섬웨어 운영자가 지불에 선호하는 암호화폐의 붕괴와 관련이 있다고 확인했습니다.
LookingGlass의 CEO인 Bryan Ware는 암호화 붕괴가 2023년에 랜섬웨어 운영자를 방해할 수 있다고 생각한다고 말합니다.
"최근 FTX 스캔들로 인해 암호화폐가 곤두박질치고 있으며, 이는 랜섬웨어의 수익 창출에 영향을 미치고 본질적으로 예측할 수 없게 만듭니다."라고 그는 말합니다. "장기적으로 다른 형태의 수익 창출을 고려해야 하기 때문에 이는 랜섬웨어 운영자에게 좋은 징조가 아닙니다."
웨어는 암호화폐에 대한 트렌드 일부 랜섬웨어 그룹은 자체 암호화폐 사용을 고려하고 있습니다.
