요즘 유행하는 최신 랜섬웨어 종류 및 특징 그리고 랜섬웨어 예방방법

안녕하세요. 요즘에 최신 랜섬웨어 종류 및 특징에 대해서 알아보겠습니다. 랜섬웨어를 근절한다고 최신 솔루션 프로그램들을 설치를 해도 새로운 랜섬웨어들이 생겨나서 랜섬웨어 피해를 많이 발생하고 있습니다. 

 

 

 

 

 

 

 

주요 랜섬웨어 종류 및 특징

 

LockBit 3.0 

Lockbit 3.0은 최근 사이버 보안 전문가들에게 큰 관심을 받고 있는 랜섬웨어 중 하나입니다. 랜섬웨어-서비스(RaaS) 모델을 활용한 최신 버전입니다. 

 

• 최초로 버그 바운티 프로그램을 도입하여 스스로의 보안 결함을 찾고 개선하기 위해 노력합니다.
• 악성코드의 분석을 어렵게 만드는 새로운 기술을 적용하였습니다. 
• 비밀 암호화는 기본이며, 데이터를 유출하여 피해자가 협박하는 이중 갈취 전략을 사용합니다. 
• LockBit 3.0은 "Living off the Land" 기법을 사용해 정당한 보안 소프트웨어를 무기로 전환하여 탐지를 어렵게 합니다

 

▶ LockBit 3.0 주요 공격 방법 

• 네트워크 취약점을 찾아 침입하거나 피싱 및 부루트포스 공격을 통해 초기 접근을 확보합니다. 
• 네트워크 내에서 측면 이동을 통해 더 많은 시스템에 접근하여 보안 시스템을 무력화 합니다.
• 네트워크 내 주요 데이터를 암호화하고 이를 탈취해 협박의 수단으로 사용합니다.

 

▶ LockBit 3.0 예방 방법 

 

• 강력한 패스워드와 MFA 사용: 브루트포스 공격 방지와 사용자 계정 보호를 위해 다단계 인증(MFA)과 강력한 패스워드를 도입합니다.
• 최신 보안 패치 적용: 시스템과 소프트웨어의 취약점을 방지하기 위해 정기적인 업데이트가 필수입니다.
• 백업 시스템 구축: 오프라인 상태의 백업 데이터를 유지해 데이터 복구가 가능하도록 대비합니다.
• 보안 모니터링: 네트워크 내 비정상적인 움직임을 감지하기 위해 EDR(Endpoint Detection and Response) 솔루션 등을 활용합니다​.

 

 

 

 

Magniber

Magniber는 2017년 처음 발견된 랜섬웨어 입니다. 초기에는 주로 한국을 포함한 아시아 지역을 표적으로 삼았습니다. 이후 활동범위를 확장하여 2021년 부터는 전 세계를 대상으로 공격을 수행하고 있습니다.  이 랜섬웨어는 주로 피싱 이메일, 악성 광고 그리고 악성 자바스크립트 파일을 통해 배포됩니다. 특히 보안 취약점을 이용한 공격과 허위 소프트웨어 업데이트로 위장하는 방식을 사용합니다. 

 

▶ Magniber 주요 공격 방식 

 

• 악성 광고(malvertising): 사용자가 악성 광고를 클릭하면, 악성 JavaScript 파일이 다운로드되고 실행됩니다.
• 허위 업데이트: Microsoft 업데이트나 소프트웨어 설치 파일로 위장한 MSI 또는 ZIP 파일이 사용자를 속여 랜섬웨어를 실행합니다.
• 보안 취약점 악용: CVE-2022-44698과 같은 최신 보안 취약점을 통해 시스템 접근 권한을 획득합니다

 

▶ Magniber 예방방법 

 

• 운영체제 및 소프트웨어를 항상 최신버전으로 유지하여 알려진 보안 취약점을 제거합니다.
• 의심스러운 이메일과 링크를 열지 않도록 해야됩니다.
• 중요한 데이터는 정기적으로 백업하고, 백업을 네트워크에서 분리된 저장소에서 보관합니다. 
• 최신 안티바이러스 및 방화벽을 활용하여 실시간 탐지 및 차단기능을 활성화 합니다.
• 악성 광고를 차단하기 위해 신뢰할 수 있는 광고 차단 소프트웨어를 설치합니다.

 

 

 

 

play 랜섬웨어

Play 랜섬웨어는 2022년 등장한 악성 프로그램으로, 데이터 암호화와 유출을 동시에 수행하는 이중 갈취 방식을 사용하여 IT, 운송, 건설, 정부기관 등을 주요 대상으로 삼아 빠르게 확산되었으며, 최근 스위스 IT 기업 Xplain 공격 사례에서 볼 수 있듯이 그 위협이 계속되고 있습니다.

 

 

▶ Play 랜섬웨어 주요 특징

 

• 전체 파일을 암호화하는 대신 파일 일부만 암호화하여 감염 속도를 높이며 보안 소프트웨어를 우회합니다.
• 주로 VPN 또는 원격 서비스의 취약점을 악용하며, 최근 Citrix Bleed 취약점(CVE-2023-3519)을 활용해 접근한 사례가 있습니다.
• 내부 탐색을 위해 PowerShell과 같은 도구를 사용하고, Mimikatz를 통해 인증 정보를 획득해 권한 상승과 네트워크 이동을 수행합니다.

 

▶ Play 랜섬웨어 예방방법

 

• 취약점 관리 : VPN 및 원격데스크톱 서비스 관련 취약점을 즉시 패치.
• 다중 인증(MFA) : 모든 원격 접근에 강력한 MFA 적용.
• 권한 최소화 : 최소 권한 원칙을 준수하며 정기적으로 계정 접근 권한 점검 
• 백업 및 모니터링 : 주기적인 데이터 백업과 실시간 모니터링 시스템 구축
• 보안훈련 : 피싱 및 랜섬웨어 대응에 대한 사용자 교육 강화

 

요즘 랜섬웨어 공격이 나날이 심해지고 있습니다. 의심스러운 파일 또는 이메일은 열어보지 말고 특히 링크의 경우 확인되지 않았다면 절대로 링크를 클릭하지 말아야 랜섬웨어 감염을 막을수 있습니다.