파이어아이가 공식 블로그를 통해 랜섬웨어 배포 트렌드 리포트를 발표했다. 파이어아이 맨디언트 인텔리전스(Mandiant Intelligence)팀은 2017년부터 2019 년까지 수십 건에 이르는 랜섬웨어 침해 사고 대응 사례를 조사했고, 그 결과 다음과 같은 내용을 확인했다.
● 초기 침입 벡터, 체류시간 및 랜섬웨어 배포에 걸리는 기간에 공통점 발견
● 공격그룹이 이익을 극대화하기 위한 공격 전술 진화
● 북미, 유럽, 아시아 태평양 및 중동 지역의 금융, 화학, 법률, 헬스케어를 포함한 전문 서비스 영역 뿐 아니라 공공기관까지 거의 모든 산업을 대상으로 공격 활동 펼침
● FIN6 와 TEMP.MixMaster 같은 공격 그룹이 금전 탈취의 목적을 띄고 침입한 사례 발견
● 파이어아이 맨디언트가 조사한 랜섬웨어 건수는 2017년부터 2019년까지 860% 증가했고 이 중 대다수의 사례는 사전 공격으로 인해 사용자의 시스템을 먼저 감염시킨 후 랜섬웨어를 배포하는 전술로, 이와 같은 치밀한 공격으로 공격자들은 금전적 이익 극대화
일반적 초기 공격 벡터
● 파이어아이는 여러 랜섬웨어 침해사고에서 몇 가지 공통적인 초기 공격 벡터를 발견했다. 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)과 악성 링크 또는 첨부파일을 통한 피싱이 여기에 해당된다. 피해자가 멀웨어를 다운로드 하도록 유도해 후속 공격 활동을 이어간 것이다. [그림 1 참고]
● RDP는 상대적으로 2017년에 빈번히 발견되었으며, 2018 년과 2019 년에는 감소했다.
● 이러한 초기 공격 벡터는 랜섬웨어가 사용자와 접촉하지 않고도 다양한 방법으로 피해자의 환경에 진입할 수 있다는 점을 시사한다.
대부분의 랜섬웨어 배포, 초기감염 3-4일 후 이루어져
● 악성 활동이 감지된 최초의 시기부터 랜섬웨어 배포까지 걸린 시간은 0-299일 사이로 나타났다.
● 침해 사고 중 75%에서 악성 활동 최초 감지부터 랜섬웨어 배포까지 최소 3 일이 걸린 것으로 나타났다. [그림 1 참고]
● 침해 사고를 초기에 탐지 및 차단하고 신속하게 조치한다면, 많은 조직이 랜섬웨어 감염으로 인한 심각한 피해와 그에 따른 금전적인 손실을 피할 수 있음을 보여준다.
대부분의 랜섬웨어 배포는 근무시간 외 발생
● 파이어아이가 검토한 랜섬웨어 침해사고 중 76%가 근무시간 외에 일어났다. 예를 들어, 공격 대상이 위치한 시간대를 고려해 직원이 근무하지 않는 주말 혹은 평일 오전 8시 이전, 오후 6시 이후에 공격을 실행한 것이다. [그림 1,2 참고]
랜섬웨어 공격에 따른 피해자가 감당해야 할 손실과 비용이 크고, 최근 몇 년간 사이버 공격 그룹이 진화하며 랜섬웨어 감염을 통한 피해를 지속적으로 증가시키고 있다. 파이어아이는 금전 탈취 목적을 띈 공격 그룹이 랜섬웨어를 통한 수익을 극대화하기 위해 공격 전술을 계속해서 발전시킬 것으로 예상하고 있다. 랜섬웨어 감염 후에 따르는 피해가 증가할 것으로 보이며, 공격자는 랜섬웨어를 통해 데이터 도용 및 탈취, 주요 시스템을 표적한 공격에 지속적으로 이용할 것으로 전망된다.
긍정적인 시사점도 있다. 사전 공격으로 시스템 감염 후 랜섬웨어를 배포하게 되면 최초 공격 시도와 랜섬웨어 배포 사이에 어느 정도 시간차가 존재한다. 네트워크 보안 담당자가가 초기 공격을 신속하게 탐지하고 적절한 방어 조치를 할 수 있다면, 랜섬웨어 감염으로 인해 심각한 피해를 줄일 수 있을 것이다.