랜섬웨어란 무엇인가요?

랜섬웨어의 작동 방식

랜섬웨어가 성공하려면 대상 시스템에 대한 액세스 권한을 얻고 파일을 암호화하고 피해자에게 몸값을 요구해야 합니다.
구현 세부 사항은 랜섬웨어 변종마다 다르지만 모두 동일한 핵심 세 단계를 공유합니다

• 1 단계. 감염 및 분포 벡터

랜섬웨어는 다른 멀웨어와 마찬가지로 다양한 방법으로 조직의 시스템에 액세스할 수 있습니다. 그러나 랜섬웨어 운영자는 몇 가지 특정 감염 벡터를 선호하는 경향이 있습니다.

그 중 하나가 피싱 이메일입니다. 악성 이메일에는 악성 다운로드를 호스팅하는 웹 사이트 링크 또는 다운로더 기능이 내장된 첨부 파일이 포함될 수 있습니다. 이메일 수신자가 피싱에 속으면 랜섬웨어가 컴퓨터에 다운로드되어 실행됩니다.

또 다른 인기 있는 랜섬웨어 감염 벡터는 원격 데스크톱 프로토콜(RDP)과 같은 서비스를 이용합니다. RDP를 사용하면 직원의 로그인 자격 증명을 훔치거나 추측한 공격자가 이를 사용하여 엔터프라이즈 네트워크 내의 컴퓨터에 인증하고 원격으로 액세스할 수 있습니다. 이 액세스를 통해 공격자는 멀웨어를 직접 다운로드하여 자신이 제어하는 컴퓨터에서 실행할 수 있습니다.

워너크라이(WannaCry)가 이터널블루(EternalBlue) 취약점을 악용한 것과 같이 시스템을 직접 감염시키려고 시도하는 사람들도 있습니다. 대부분의 랜섬웨어 변종에는 여러 감염 벡터가 있습니다.

2025년이 되면 랜섬웨어 공격은 종종 조직의 타사 공급업체 내 취약성을 인식하여 이를 약한 진입점으로 활용합니다. 이는 보통 다음으로 시작됩니다.공급업체 시스템의 침해된 자격 증명이나 패치되지 않은 소프트웨어로 인해 공격자가 초기 액세스 권한을 얻을 수 있습니다. 거기에서 위협 행위자는 공급업체와 표적 조직 간의 신뢰된 연결을 악용하여 측면 이동을 하고 랜섬웨어를 배포하여 주요 회사의 직접적인 방어를 우회합니다.  

• 2 단계. 데이터 암호화

 랜섬웨어가 시스템에 액세스한 후 파일 암호화를 시작할 수 있습니다. 암호화 기능은 운영 체제에 내장되어 있기 때문에 파일에 액세스하고, 공격자가 제어하는 키로 암호화하고, 원본을 암호화된 버전으로 교체하기만 하면 됩니다. 대부분의 랜섬웨어 변종은 시스템 안정성을 보장하기 위해 암호화할 파일을 신중하게 선택합니다. 일부 변형은 암호 해독 키 없이 복구를 더 어렵게 만들기 위해 파일의 백업 및 섀도 복사본을 삭제하는 단계를 수행합니다.

• 3 단계. 몸값 요구

파일 암호화가 완료되면 랜섬웨어는 몸값을 요구할 준비가 됩니다. 다양한 랜섬웨어 변종이 이를 다양한 방식으로 구현하지만 디스플레이 배경이 랜섬 노트 또는 랜섬 노트가 포함된 암호화된 각 디렉토리에 배치된 텍스트 파일로 변경되는 것은 드문 일이 아닙니다. 일반적으로 이러한 메모는 피해자의 파일에 액세스하는 대가로 일정 금액의 암호화폐를 요구합니다. 몸값이 지불되면 랜섬웨어 운영자는 대칭 암호화 키를 보호하는 데 사용되는 개인 키의 사본 또는 대칭 암호화 키 자체의 사본을 제공합니다. 이 정보는 암호 해독 프로그램(사이버 범죄자가 제공)에 입력할 수 있으며, 이 프로그램은 이를 사용하여 암호화를 되돌리고 사용자 파일에 대한 액세스를 복원할 수 있습니다.

이 세 가지 핵심 단계는 모든 랜섬웨어 변종에 존재하지만 다른 랜섬웨어에는 다른 구현 또는 추가 단계가 포함될 수 있습니다. 예를 들어, Maze와 같은 랜섬웨어 변종은 데이터 암호화 전에 파일 스캔, 레지스트리 정보 및 데이터 도난을 수행하고, WannaCry 랜섬웨어는 감염 및 암호화할 다른 취약한 디바이스를 스캔합니다.

인기 있는 랜섬웨어 변종

수십 개의 랜섬웨어 변종이 존재하며 각각 고유한 특성을 가지고 있습니다. 그러나 일부 랜섬웨어 그룹은 다른 그룹보다 더 많고 성공적이어서 군중에서 눈에 띄게 되었습니다.

1.Ransomhub 

RansomHub, 저명한 서비스형 랜섬웨어(RaaS) 2024년 2월에 등장한 그룹은 ALPHV와 같은 해체된 그룹의 협력자들을 끌어들임으로써 빠르게 두각을 나타냈으며 LockBit. 낮은 지불률에도 불구하고, 높은 제휴사 이익 공유 모델(90%)로 인해 공격이 급증했으며, 특히 2024년 7월과 8월에 주로 미국 및 브라질 기업을 대상으로 한 공격이 증가했습니다. RansomHub’s Golang과 C++로 작성된 랜섬웨어가 알려져 있습니다. 빠른 암호화를 위해 사용 EDRKillShifter, 그리고 최근 원격 암호화 구현이 포함됩니다. 하지만, 2025년 4월 1일에 RansomHub’s 운영이 중단되었으며, 제휴사는 Qilin으로 이동한 것으로 보고되었습니다. DragonForce 통제권을 확보하며 랜섬웨어 세계에서 그 존재감이 사라졌음을 알렸습니다. 

2.Akira

2023년 1분기에 처음 발견된 랜섬웨어 변종인 Akira, Windows 및 다른 시스템을 모두 대상으로 합니다 그리고 ChaCha2008 암호화를 사용하는 Linux 시스템. 이 악성코드는 피싱 이메일과 VPN 취약성을 통해 시스템에 침투한 후 다음과 같은 전술을 사용합니다. LOLBins 및 크리덴셜 덤핑을 통해 탐지를 회피하고 권한을 획득합니다. Akira는 다음을 활용합니다. 간헐적 암호화 보안 솔루션을 피하기 위해 섀도 복사본을삭제하여 복구를 방해합니다. 이 그룹은 또한 갈취 전용 공격 아키라는 암호화 없이 데이터를 탈취하고 몸값을 요구하는 악성 프로그램입니다. 주로 북미, 유럽, 호주의 대기업, 특히 교육, 금융, 제조, 의료 분야의 기업을 표적으로 삼아 거액의 몸값을 요구합니다. 아키라 공격을 완화하기 위해 기업은 다음과 같은 조치를 취해야 합니다.사이버 보안 인식 교육, 랜섬웨어 방지 솔루션, 정기적인 데이터 백업, 패치 관리, 강력한 사용자 인증(MFA) 및 네트워크 분할.

3.Play

플레이 랜섬웨어 그룹, 또는 플레이 또는 플레이크립트로알려져 있습니다는 2022년 이후 중요한 사이버 범죄 조직으로 부상했으며, 마이크로소프트 쿠바, 오클랜드 시, 스위스 정부 등 주요 표적을 포함해 전 세계 300개 이상의 조직을 성공적으로 침해했습니다. 이 그룹은 다음과 같은 독특한 전술을 사용합니다.간헐적 암호화, 이는 파일의 선택된 부분만 암호화하여 탐지를 회피하며, 이중 갈취데이터를 암호화할 뿐만 아니라 데이터를 유출하고 몸값을 지불하지 않으면 공개하겠다고 협박합니다. Play는 취약성을 이용합니다. FortiOS 그리고 초기 액세스를 위해 RDP서버를 노출시킨 후 그룹 정책 개체를 통해 랜섬웨어 페이로드를 스케줄링된 작업으로 배포했습니다. 그들은 Tor 블로그를 운영하여 공격과 훔친 데이터를 홍보하며 피해자들에게 컴플라이언스를 강요합니다.

4.크롭

Cl0p는 랜섬웨어입니다. 즉 변형 크립토믹스 멀웨어. 그것은이는 주로 의료 및 금융과 같이 민감한 데이터를 다루는 산업을 표적으로 삼는 서비스형 랜섬웨어(RaaS) 형태의 정교한 위협입니다. 이중 갈취 전략을 사용하여 데이터를 암호화하고 몸값을 지불하지 않으면 도난당한 정보를 공개하겠다고 위협합니다. Cl0p는 피싱 이메일과 제로데이 취약성 악용을 포함한 다양한 배포 방식을 사용하기 때문에 탐지 및 차단이 어렵습니다. 차단. 이 랜섬웨어는 디지털 서명된 코드, 높은 몸값 요구, SDBOT를 사용한 자체 전파 및 기업 네트워크들에 대한 선호로 알려져 있습니다. Cl0p 공격을 방지하기 위해 조직은 AI 기반의 위협 탐지, 지속적인 모니터링, 비정상적인 활동에 대한 로그 점검, 피싱에 대한 포괄적인 직원 교육, 감염된 시스템의 신속한 격리 및 강력한 인증 프로토콜을 구현해야 합니다. 

5.Qilin

Qilin은 주요 서비스형 랜섬웨어(RaaS), 활용하여 고도로 커스터마이징이 가능한, Rust 기반 랜섬웨어 이 그룹은 전 세계 다양한 분야의 조직을 표적으로 삼습니다. 2025년 4월, 이 그룹은 랜섬웨어 공격 부문에서 1위를 차지하며 큰 주목을 받았습니다. Qilin은 다음과 같은 전략을 사용합니다.이중 갈취 기술을 사용하여 피해자의 파일을 암호화하고 복호화 대가로 몸값을 요구할 뿐만 아니라 민감한 데이터를 유출하기 그리고 몸값이 지불되더라도 석방하겠다고 위협했다. 그들의 정교한 전술에는 각 피해자에게 맞춘 공격, 파일 이름 확장자 변경, 특정 프로세스종료, 다양한 암호화 모드 제공 등이 포함됩니다.Qilin 은 다크웹에서 자사 서비스를 광고하며, 고유한 회사 ID와 도난당한 계정 정보를 가진 독점 데이터 유출 사이트(DLS)를 공개 하고, 이후 제휴사도 확보한 것으로 알려졌습니다 RansomHub 끄세요.

6.Ryuk

류크 는 매우 표적화된 랜섬웨어 변종의 예입니다. 일반적으로 스피어 피싱 이메일을 통해 전달되거나 손상된 사용자 자격 증명을 사용하여 RDP(원격 데스크톱 프로토콜)를 사용하여 엔터프라이즈 시스템에 로그인합니다. 시스템이 감염되면 Ryuk는 특정 유형의 파일을 암호화한 다음(컴퓨터 작동에 중요한 파일은 피함) 몸값을 요구합니다.

Ryuk는 현존하는 가장 비싼 유형의 랜섬웨어 중 하나로 잘 알려져 있습니다. 류크는 몸값을 요구한다. 평균 100만 달러 이상. 결과적으로 Ryuk의 배후에 있는 사이버 범죄자들은 주로 요구 사항을 충족하는 데 필요한 리소스를 보유한 기업에 중점을 둡니다.

7. Maze

이 미로 랜섬웨어는 최초의 랜섬웨어 변종으로 유명합니다. 파일 암호화와 데이터 도난 결합. 표적이 몸값 지불을 거부하기 시작하자 Maze는 피해자의 컴퓨터에서 민감한 데이터를 수집한 후 암호화하기 시작했습니다. 몸값 요구가 충족되지 않으면 이 데이터가 공개적으로 노출되거나 최고 입찰자에게 판매됩니다. 비용이 많이 드는 데이터 유출 가능성은 추가 지불 인센티브로 사용되었습니다.

Maze 랜섬웨어 배후의 그룹은 공식적으로 운영 종료. 그러나 이것이 랜섬웨어의 위협이 감소했다는 것을 의미하지는 않습니다. 일부 Maze 계열사는 Egregor 랜섬웨어를 사용하도록 전환했으며 Egregor, Maze 및 Sekhmet 변종에는 공통 소스가 있는 것으로 믿어집니다.

8.REvil (소디노키비)

REvil 그룹(소디노키비라고도 함) 대규모 조직을 대상으로 하는 또 다른 랜섬웨어 변종입니다.

REvil은 인터넷에서 가장 잘 알려진 랜섬웨어 제품군 중 하나입니다. 2019년부터 러시아어를 사용하는 REvil 그룹이 운영해 온 이 랜섬웨어 그룹은 'Kaseya' 및 'JBS'와 같은 많은 대규모 침해를 담당했습니다

지난 몇 년 동안 가장 비싼 랜섬웨어 변종이라는 타이틀을 놓고 Ryuk와 경쟁했습니다. REvil은 다음과 같은 것으로 알려져 있습니다. 800,000달러의 몸값을 요구했습니다..

REvil은 전통적인 랜섬웨어 변종으로 시작했지만 시간이 지남에 따라 진화했습니다.
그들은 이중 갈취 기술을 사용하여 파일을 암호화하면서 기업에서 데이터를 훔치고 있습니다. 즉, 공격자는 데이터 암호 해독을 위해 몸값을 요구하는 것 외에도 두 번째 지불이 이루어지지 않으면 도난당한 데이터를 공개하겠다고 위협할 수 있습니다.

9. Lockbit

LockBit은 2019년 9월부터 운영 중인 데이터 암호화 멀웨어이며 최근 랜섬웨어 RaaS(RaaS)입니다. 이 랜섬웨어는 보안 어플라이언스 및 IT/SOC 팀이 신속하게 탐지하는 것을 방지하는 방법으로 대규모 조직을 신속하게 암호화하기 위해 개발되었습니다. 

10. DearCry

2021년 3월, Microsoft는 Microsoft Exchange 서버 내의 4가지 취약점에 대한 패치를 출시했습니다. 디어크라이(DearCry)는 마이크로소프트 익스체인지(Microsoft Exchange)에서 최근 공개된 4가지 취약점을 악용하도록 설계된 새로운 랜섬웨어 변종이다

DearCry 랜섬웨어는 특정 유형의 파일을 암호화합니다. 암호화가 완료되면 DearCry는 사용자에게 파일 암호 해독 방법을 배우기 위해 랜섬웨어 운영자에게 이메일을 보내도록 지시하는 랜섬 메시지를 표시합니다.

11. Lapsus$

Lapsus$는 일부 유명 표적에 대한 사이버 공격과 연결된 남미 랜섬웨어 갱단입니다. 사이버 갱단은 피해자의 요구가 이루어지지 않으면 민감한 정보를 공개하겠다고 위협하는 갈취로 유명합니다. 이 그룹은 Nvidia, Samsung, Ubisoft 등에 진출한 것을 자랑했습니다. 이 그룹은 훔친 소스 코드를 사용하여 멀웨어 파일을 신뢰할 수 있는 것으로 위장합니다.

랜섬웨어의 일반적인 공격 대상 산업

랜섬웨어는 모든 산업 분야의 기업을 대상으로 할 수 있습니다. 하지만 랜섬웨어는 일반적으로 특정 산업을 표적으로 삼는 사이버 범죄 캠페인의 일환으로 배포됩니다. 2023년 랜섬웨어 공격의 주요 대상 산업 5곳은 다음과 같습니다.

• 교육/연구: 교육/연구 분야는 2023년에 2046건의 랜섬웨어 공격을 경험했는데, 이는 전년 대비 12% 감소한 수치입니다.
• 정부/군대: 1598건의 공격으로 정부 및 군사 조직이 두 번째로 표적이 많은 산업이었고 2022년 대비 4% 감소했어요.
• 의료: 의료 공격이 1500건이었는데 3% 증가했는데, 특히 의료 서비스가 제공하는 민감한 데이터와 중요 서비스 때문에 우려되는 상황이에요.
• 커뮤니케이션: 통신 조직은 2023년에 8% 성장하여 총 1493건의 알려진 공격을 기록했습니다.
• ISP/MSP: 공급망 공격 가능성 때문에 랜섬웨어의 흔한 표적인 ISP와 MSP는 2023년에 1,286건의 랜섬웨어 공격을 경험해 6% 감소했습니다.

랜섬웨어를 제거하는 방법?

랜섬 메시지는 랜섬웨어 감염이 성공했음을 나타내기 때문에 누구나 컴퓨터에서 보고 싶어하는 것이 아닙니다. 이 시점에서 활성 랜섬웨어 감염에 대응하기 위해 몇 가지 조치를 취할 수 있으며 조직은 몸값을 지불할지 여부를 선택해야 합니다.

• 활성 랜섬웨어 감염을 완화하는 방법

많은 성공적인 랜섬웨어 공격은 데이터 암호화가 완료되고 감염된 컴퓨터 화면에 랜섬 노트가 표시된 후에만 탐지됩니다. 이 시점에서 암호화된 파일은 복구할 수 없지만 몇 가지 단계를 즉시 수행해야 합니다.

1. 컴퓨터를 격리합니다. 일부 랜섬웨어 변종은 연결된 드라이브 및 다른 시스템으로 확산을 시도합니다. 다른 잠재적 대상에 대한 액세스를 제거하여 멀웨어의 확산을 제한합니다.
2. 컴퓨터를 켜진 상태로 두십시오. 파일을 암호화하면 컴퓨터가 불안정해질 수 있으며 컴퓨터 전원을 끄면 휘발성 메모리가 손실될 수 있습니다. 복구 가능성을 최대화하려면 컴퓨터를 켜 두십시오.
3. 백업 생성: 일부 랜섬웨어 변종에 대한 파일 암호 해독은 몸값을 지불하지 않고도 가능합니다. 나중에 솔루션을 사용할 수 있게 되거나 암호 해독 작업이 실패하여 파일이 손상되는 경우를 대비하여 이동식 미디어에 암호화된 파일의 복사본을 만듭니다.
4. 암호 해독기 확인: No More Ransom Project에 문의하여 무료 암호 해독기를 사용할 수 있는지 확인하십시오. 그렇다면 암호화된 데이터의 복사본에서 실행하여 파일을 복원할 수 있는지 확인합니다.
5. 도움 요청: 컴퓨터는 때때로 컴퓨터에 저장된 파일의 백업 복사본을 저장합니다. 디지털 포렌식 전문가는 멀웨어에 의해 삭제되지 않은 경우 이러한 복사본을 복구할 수 있습니다.
6. 지우기 및 복원: 새로 백업하거나 운영 체제를 설치한 상태에서 컴퓨터를 복원합니다. 이렇게 하면 멀웨어가 디바이스에서 완전히 제거됩니다