가드포인트 리서치(GuidePoint Research)가 지난 목요일 발표한 보고서에 따르면 2022년도 2분기 랜섬웨어 공격 횟수는 총 574건으로 집계됐다. 올 1분기 대비 34% 감소한 수치다. 기술 부문은 공공 부문과 마찬가지로 큰 표적이 됐다. 아울러 미국은 가장 많은 공격을 받은 국가로, 전 세계 랜섬웨어 피해의 거의 4분의 1을 차지했다.
2분기 가장 활발하게 공격 활동을 이어온 랜섬웨어 그룹은 서비스형 랜섬웨어(RaaS)를 운영하는 록빗(LockBit)이다. 록빗은 목표 대상의 시스템을 손상시키고 수익을 협력사에게 공유하는 소프트웨어를 제공하며, 자체적인 데이터 도용 툴킷과 랜섬웨어 배포 도구 등을 보유한 것으로 조사됐다.
조사 기간 동안 록빗을 사용한 공격은 총 208건이었다. 보고서에 따르면 록빗은 버그 바운티 프로그램을 운영하면서 공격으로 얻은 수익의 일정 비율을 사용료로 지불하며, 치명적 결과를 초래할 수 있는 주요 인프라 업체에 소프트웨어 사용을 제한하는 등 상당히 체계적인 구조를 가지고 있다.
2분기에 새로 등장한 공격 그룹 블랙바스타(Blackbasta)는 산업 및 제조 회사를 주요 타깃으로 삼고 있다. 또한 콘티 랜섬웨어라는 그룹은 지난 5월 없어져 2분기 공격 횟수가 감소했지만, 조사 기간 동안의 공격 횟수는 록빗2에 이어 2위에 오를만큼 많았다.
콘티는 공격적인 접근 방식과 더불어 일반적인 대형 랜섬웨어 그룹과 달리 몸값을 지불해도 손상된 데이터를 복구해주지 않아 악명이 높았다. 한편 콘티라는 그룹은 사실상 없어졌지만 그 배후에 있었던 사람들은 여전히 활동하고 있을 가능성이 높다.
가드포인트의 운영 책임자 드류 슈미트는 “위협 행위자의 조직 개편이 계속되고 있기 때문에 록빗은 가까운 미래에도 랜섬웨어 산업의 선두 자리를 계속 유지하리라 예측된다. 록빗 3.0 공격이 증가하고, 협력사 기반 랜섬웨어 운영에서 구조조정 및 통합이 이뤄질 것으로 보고 있다”라고 전했다. ciokr@idg.co.kr