보안뉴스 창간 17주년을 축하합니다!!

록빗, 8월 한 달 동안 126개 기업의 데이터를 유출했다

입력 : 2023-09-22 15:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
8월에 가장 활발하게 활동한 랜섬웨어 그룹은 ‘록빗’
아크로니스, 9월 글로벌 사이버 위협 동향 업데이트 발표


[보안뉴스 박은주 기자] 사이버 범죄자들은 꾸준히 진화하고, 기술의 발전과 함께 발전하고 있다. 규모를 늘려 조직화하고, 각 조직원은 특정 역할에 따라 조직의 목표를 달성할 수 있도록 분업화되어간다. 대표적인 곳이 랜섬웨어 그룹 ‘록빗(LockBit)’이다. 록빗은 악성 멀웨어와 서비스형 랜섬웨어(RaaS)를 제작해 판매하는 등 사이버 생태계를 위협하는 해커 조직으로 손꼽힌다.

[이미지=gettyimagesbank]


최근 사이버 보안 기업 아크로니스(지사장 고목동)의 분석 결과 8월에 가장 활발하게 활동한 랜섬웨어 그룹은 126개 기업의 데이터를 유출한 ‘록빗’으로 밝혀졌다. 아크로니스는 이러한 내용이 담긴 글로벌 사이버 위협 동향 업데이트를 발표했다. 발표된 자료는 2023년 8월에 수집된 것으로, 아크로니스가 탐지한 위협과 공개 도메인에 대한 뉴스 기사가 반영됐다. 해당 보고서는 전 세계에 설치된 100만개 이상의 고유 엔드포인트 분석을 기반으로 한다. 자료의 주요 시사점은 다음과 같다.

- 엔드포인트에서 탐지된 랜섬웨어는 7월 대비 8월에 3% 증가했다. 8월에 가장 활발하게 활동한 랜섬웨어 그룹은 126개 기업의 데이터를 유출한 록빗(LockBit)이었다.
- 2023년 8월에 아크로니스가 엔드포인트에서 차단한 악성 URL은 710만 개였다. 이는 7월에 비해 55% 감소한 수치이지만, 2022년 8월에 비해서 1% 증가한 수치다.
- 아크로니스는 8월에 멀웨어 공격을 받은 42,890개의 엔드포인트를 탐지했으며, 이는 7월에 비해 16% 증가한 수치다.
- 8월에만 아크로니스 사이버 프로텍트 클라우드(Acronis Cyber Protect Cloud)의 엔드포인트 탐지 및 대응(EDR) 솔루션은 총 225,000건 이상의 인시던트(사고)를 사전 탐지했으며, 대부분의 침해 사고를 자동화된 사이버 보호 프로세스로 해결했다.
- 전 세계적으로 보고된 데이터 유출 건수는 약 379건에 달했다.

데이터 유출 사고
데이터 유출은 여전히 수백만 명의 사용자에게 영향을 미치는 광범위한 골칫거리다. 예를 들어, 지난 8월에는 Discord.io의 데이터 유출로 인해 해시된 비밀번호를 포함한 76만 명의 회원 정보가 노출됐다. 이 데이터는 이미 언더그라운드 포럼에서 구매할 수 있도록 공개됐다.

최근 발생한 또 다른 데이터 유출 사고에는 프랑스의 실업 등록 및 재정 지원 기관인 ‘폴 엠페리(Pôle emploi)’가 피해를 입어, 약 1,000만명에 달하는 일반 시민의 데이터가 노출됐다. 다행히 이메일, 비밀번호, 은행 정보는 포함되지 않았다. 다만, 이 데이터는 여전히 사이버 범죄자들에게 유용하며, 향후 소셜 엔지니어링 이메일 캠페인을 개인화하는 데 악용될 우려가 있다.

데이터 유출의 가장 일반적인 원인은 △이중 갈취 랜섬웨어 △SQL 인젝션 △정보 탈취 트로이 목마였다. 가장 흔한 인포스틸러(infostealers) 중 하나인 라쿤 스틸러(Raccoon Stealer)는 8월에 새로운 버전(2.3.0)을 발표했다. 이 새 버전은 더 은밀하게 보안 관리자가 온라인 대시보드를 찾지 못하도록 시도하며, 60개의 다른 애플리케이션에서 자격 증명을 훔친다. 라쿤 스틸러는 서비스형 멀웨어(MaaS) 모델로 배포되며 현재 월 200달러에 판매되고 있다.

랜섬웨어
8월의 랜섬웨어 탐지는 2023년 7월에 비해 3% 증가했다. 랜섬웨어가 가장 많이 탐지된 날은 438건의 아크로니스 안티 랜섬웨어 솔루션으로 암호화 시도가 차단된 8월 9일이었다. 그러나 이 단계에 도달한 위협은 이메일 필터 및 정적 안티바이러스 탐지 프로세스와 같은 이전의 모든 보호 계층을 침투하거나 비활성화를 통해 제거됐다. 따라서 분석할 수 없는 상태인 것도 많아 실제 랜섬웨어 공격 시도는 더 많을 것으로 예측된다.

앞서 언급한 위협들은 아크로니스의 솔루션을 통해 감지 및 완화할 수 있다. 아크로니스 사이버 프로텍트(Acronis Cyber Protect)는 다계층 보호 접근 방식을 통해 알려진 위협과 이전에 발견되지 않은 위협 모두로부터 보호한다. 여기에는 행동 기반 탐지, AI/ML 학습 탐지 및 랜섬웨어 방지 휴리스틱이 포함되어 암호화 시도를 탐지 및 차단하고 변조된 파일을 사용자 상호 작용 없이 자동으로 롤백 할 수 있다.

Acronis Cyber Protect Cloud용 엔드포인트 탐지 및 대응(EDR) 팩(Endpoint Detection and Response (EDR) pack for Acronis Cyber Protect Cloud)은 공격을 이해하는 데 필요한 가시성을 제공하는 동시에 관리자를 위해 컨텍스트를 간소화하고 모든 위협을 효율적으로 해결할 수 있도록 지원한다.

아크로니스는 사전 예방적 사이버 보호 조치의 필요성을 강조했다. 건전한 사이버 보안 태세를 유지하려면 안티멀웨어, EDR, DLP, 이메일 보안, 취약성 평가, 패치 관리, 원격 모니터링 및 관리(RMM) 및 백업 기능을 결합한 다계층 솔루션이 필요하다. AI, 머신 러닝, 행동 분석을 결합한 고급 솔루션을 활용하면 랜섬웨어 및 데이터 도용자가 제기하는 위험을 완화하는 데 도움이 될 수 있다.

아크로니스는 지속적인 연구, 개발 및 업계 파트너와의 협력을 통해 새로운 사이버 위협으로부터 보호하는 혁신적인 솔루션을 제공함으로써 개인과 기업의 역량을 강화하기 위해 최선을 다하고 있다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)