글로벌 디지털 플랫폼 및 보험 기업 코버스 인슈어런스(Corvus Insurance)가 2024년 3분기 사이버 위협 보고서 ‘분산되는 랜섬웨어 생태계’를 발표했다.

랜섬웨어 공격 28.7%, VPN 취약점 악용

보고서에 따르면, 공격자들이 가상 사설망(VPN)의 취약점과 취약한 비밀번호를 악용해 초기 접근을 시도한 사례가 랜섬웨어 공격의 약 28.7%를 차지했다.

또한, 주로 업데이트되지 않은 소프트웨어나 보호 조치가 미흡한 VPN 계정에서 발생했다. 예를 들어, ‘admin’이나 ‘user’등의 흔한 사용자 이름이나 다중 인증(MFA)이 설정되지 않은 경우, 계정이 자동화된 무차별 대입 공격(Brute-force Attack)에 쉽게 노출됐다.

공격자들은 공개적으로 접근 가능한 시스템에서 약한 비밀번호 조합을 시도해 간단히 네트워크에 침투할 수 있었다.

랜섬웨어 생태계 확장, 새로운 그룹 주의 필요

이번 보고서는 올 2분기 동안 랜섬웨어 유출 사이트에서 수집된 데이터와 1248명의 피해자를 조사한 결과를 바탕으로 작성됐다. 보고서에 따르면 2분기의 높은 활동 수준은 3분기에도 이어져 1257건의 공격이 발생했다.

특히, 공격의 40%는 랜섬허브(RansomHub), 플레이(PLAY), 록빗(LockBit) 3.0, MEOW, 헌터스 인터내셔널(Hunters International) 등 다섯 그룹으로부터 발생했다. 이 중 랜섬허브는 3분기 동안 가장 활발히 활동한 그룹으로, 195명의 피해자가 발생했으며, 이는 2분기 대비 160% 증가한 수치다. 반면, 락비트 3.0은 전분기 기준 208명의 피해자에서 3분기 91명으로 급감했다.

3분기에는 랜섬웨어 생태계는 확장돼 총 59개의 그룹이 활동한 것으로 나타났다. 이는 새로운 그룹이 빠르게 위협 세력으로 떠오를 수 있다는 걸 보여준다. 예를 들어, 1분기 락비트 단속된 이후 2월에 등장한 랜섬허브는 빠르게 활동을 확대하며 2024년 한 해 동안 다양한 산업 분야에서 290명 이상의 피해자가 발생돼 주요 사이버 범죄 조직 중 하나로 자리 잡았다.

주요 산업 동향

건설 산업은 83건의 피해 사례로 3분기 가장 큰 영향을 받은 산업이다. 이는 2분기 77건에서 7.8% 증가한 수치로 랜섬허브와 같은 랜섬웨어 그룹이 계속해서 인프라 관련 산업을 표적으로 삼고 있는 것으로 분석됐다. 보건 분야에서도 피해가 크게 증가했으며, 2분기 42건에서 3분기 53건으로 12.8% 증가했다.

코버스 최고 정보 보안 책임자 제이슨 레볼츠는 "공격자들은 기업에 침투하기 쉬운 방법을 찾고 있으며, 3분기에는 VPN이 주요 진입점으로 활용됐다. 기업은 MFA를 넘어 다층 보안 체계를 도입해 취약점을 보완해야 한다."고 말했다.