해당 보고서는 공격자가 데이터 유출 사이트에 올린 게시물 모니터링과 맨디언트가 주도한 랜섬웨어 조사를 기반으로 하며, ▲2022년과 비교한 랜섬웨어 활동 동향 ▲새로운 랜섬웨어 계열 및 변종 소개 ▲서비스형 랜섬웨어(ransomware-as-a-service, RaaS)의 급성장 과정 ▲코발트 스트라이크(Cobalt Strike) 외에 공격자가 사용하는 합법적인 툴에 대한 자세한 설명을 포함한다.
보고서에 따르면, 2023년에는 데이터 유출 사이트 게시물이 75% 증가하고 랜섬웨어 활동이 눈에 띄게 늘어났다. 특히 50가지 이상의 새로운 랜섬웨어 계열과 변종이 관찰됐으며, 이 중 1/3은 이미 알려진 랜섬웨어 계열의 변종이었다. 또한 공격자는 코발트 스트라이크 비컨(Cobalt Strike BEACON) 대신 스크린커넥트(ScreenConnect), 스플래시탑(Splashtop), 아테라(Atera), 애니데스크(Anydesk)와 같은 합법적인 툴을 사용해 피해 기업 시스템에 침투하는 추세를 보였다.
'2023년 랜섬웨어 트렌드 분석' 보고서의 주요 내용은 다음과 같다.
- 약 1/3의 랜섬웨어 공격이 공격자가 최초로 시스템에 액세스한 후 48시간 이내에 발생했으며, 76%는 업무 시간 외에 발생했다.
- 랜섬웨어 공격은 RaaS 모델을 통해 110개국 이상의 기업에 타격을 입혔다.
- 2023년 가장 많이 활용된 5대 랜섬웨어는 알프파이브(ALPHV) 17%, 록빗(LOCKBIT) 17%, 바스타(BASTA) 8%, 레드바이크(REDBIKE) 6%, 포보스(PHOBOS) 5% 순으로 나타났다.
- 일부 공격자는 피해 기업을 압박하거나 돈을 받기 위해 허위 신고(swatting)를 하거나 피해자에게 직접 전화를 걸고 정부 규제 기관에 민원을 접수하는 등 새롭고 독특한 방법을 시도하고 있다.
- 피해 기업에 금전적 이익을 갈취하는 공격자는 모네로(Monero)와 같은 특정 암호화폐를 선호하는 성향을 보였다.
맨디언트의 2023년 랜섬웨어 트렌드 분석 보고서에 관한 보다 자세한 내용은 영문 보고서 원문 또는 보고서 내용을 요약한 국문 블로그에서 확인할 수 있다.
맨디언트는 '랜섬웨어 보호 및 격리 전략: 인프라, 아이덴티티, 정체성, 엔드포인트 강화 및 보호에 대한 가이드(Ransomware Protection and Containment Strategies: Practical Guidance for Hardening and Protecting Infrastructure, Identities and Endpoints)' 백서를 통해 랜섬웨어 위협을 완화하고 억제하는 방법을 제시하고 있다.
editor@itworld.co.kr