이스트시큐리티에 따르면 백신 프로그램 ‘알약’에 탑재되어 있는 ‘랜섬웨어 행위기반 사전 차단’기능을 통해, 2022년 2분기 총 148,689건의 랜섬웨어 공격을 차단했다.

시큐리티대응센터(이하 ESRC) 통계에 따르면, 2분기 알약을 통해 차단된 랜섬웨어의 공격은 ▲총 148,689건으로, 이를 30일 기준 일간으로 환산하면 일평균 ▲약 1,652건의 랜섬웨어 공격이 차단된 것으로 볼 수 있다.  이는 1분기 대비 약 2만 9천여 건 감소한 수치이지만, 랜섬웨어의 위협은 여전히 높은 것으로 평가했다.

▲비너스락커 (VenusLocker) 그룹의 이력서 및 저작권 위반 사칭 메일을 통해 유포된 한국 맞춤형 마콥(Makop), 락빗(LockBit) 랜섬웨어의 기승 ▲타이포스쿼팅(Typosquatting) 기법을 통한 매그니베르 (Magniber) 랜섬웨어 유포 ▲러시아의 우크라이나 침공 이슈와 관련된 랜섬웨어 위장 와이퍼(Wiper) 공격 등이 주요 랜섬웨어 형태였다.

이른바 비너스락커 그룹으로 알려진 랜섬웨어 유포 조직은 오랜 기간 동안 한국에서 활동 중이다. 최근에는 NSIS 기반으로 변형한 마콥 또는 락빗 랜섬웨어 변종을 유포하고 있으며 이용자의 업무적 필요성 및 심리적 불안감을 이용해 교묘한 방식으로 랜섬웨어 위협을 꾸준히 전개하고 있다. 대표적으로 이력서가 담긴 첨부 파일을 보낸 것처럼 위장하거나, 이미지 파일의 저작권을 위반했다는 내용 등의 사례가 있다.

매그니베르 랜섬웨어도 기승을 부렸다. 해당 랜섬웨어는 인터넷 사이트 주소를 잘못 입력하면 영문 철자가 유사한 악성 사이트로 연결되도록 하는 일명 ‘타이포스쿼팅’ 공격 기법을 활용한다. 이번 분기에 많은 사용자가 윈도우 업데이트용 설치 프로그램으로 위장한 해당 랜섬웨어 공격에 속아 속수무책으로 감염됐다.

아울러 러시아의 우크라이나 침공으로 전쟁이 지속되고 있는 가운데, 익명의 사이버 그룹들은 자신들이 지지하는 국가를 공개하고, 상대 국가에 대한 사이버 공격을 감행했다. 지난 5월에 발견된 카오스(Chaos) 랜섬웨어 변종은 사용자 컴퓨터를 감염시킨 후 확장자를 'fuckazov'로 바꾸는데, 여기서 azov는 우크라이나의 아조프 대대를 의미하는 것으로 알려졌다. 

새로운 랜섬웨어도 등장했다. 바로, 류크(.Ryuk) 확장자를 사용한 워너프렌드미(WannaFriendMe)로 해당 랜섬웨어는 카오스(Chaos) 랜섬웨어의 변종에 가까운 것으로 알려졌다. 이 랜섬웨어의 특이한 점은 비트코인이나 이더리움 대신 로블록스(Roblox) 게임스토어를 통해 복호화 툴(Ryuk Decrypter)을 판매하고, 로벅스(Robux) 코인으로 몸값을 지불하도록 유도한 것이다. 현재 관련 게시 내용은 삭제 조치 된 상태이다.

다음으로 기업에서 많이 사용하는 가상화 플랫폼 VMware ESXi의 플랫폼 ESXi를 공격 대상으로 한 랜섬웨어도 많이 발견됐다. 22년 4월에 발견된 블랙바스터(Black Basta) 랜섬웨어는 처음에 윈도우 시스템을 공격 대상으로 삼았지만, 이후 발견된 리눅스 변종은 ESXi 서버만을 노리도록 특별히 설계됐다. 또, ESXi 서버만을 노린 치어스(Cheers) 랜섬웨어의 변종인 치어스크립트(Cheerscrypt)도 발견되는 등 앞으로 ESXi 서버를 공격 대상으로 한 랜섬웨어는 점점 더 증가할 것으로 예상된다.