현재 가장 악명 높은 랜섬웨어 공격 집단 12곳
현재 랜섬웨어 위협 환경은 서비스형 랜섬웨어 모델, 이중 갈취 전술, 그리고 AI 활용 증가 등의 특징을 보이며 진화하고 있다. 록빗과 같은 공격 집단에 대한 법 집행 기관의 단속으로 인해 랜섬
www.itworld.co.kr
- 서비스형 랜섬웨어(RaaS) 확산 및 진화
- 공격자가 자체 운영 또는 제휴를 통해 랜섬웨어 유포
- 이중 갈취(double extortion), 삼중 갈취 등 공격 전략 고도화
- 다크웹 포럼 및 RAMP 등에서의 제휴사 모집 활발
- 주요 랜섬웨어 그룹별 활동 내역
- 아키라(Akira)
- VPN 인증 취약점, RDP 및 자격 증명 탈취 공격
- 북미 및 유럽 중소기업 집중 타깃
- 콘티 그룹과의 연계 의혹 존재
- 블랙 바스타(Black Basta)
- 이메일 스팸 후 IT 헬프데스크 사칭 소셜 엔지니어링
- 500곳 이상 피해, FIN7과 연관 정황
- 블랙캣/ALPHV
- 윈도우·리눅스 대상, 삼중 갈취 전략
- 체인지 헬스케어 등 대형 공격 수행 후 정체 상태
- 블랙록(BlackLock)
- 2024년 급부상, RAMP에서 활발한 제휴사 모집
- VM웨어 ESXi 및 리눅스 포함 광범위한 플랫폼 공격
- 클롭(Cl0p)
- 무브잇(MOVEit) 취약점 등 제로데이 악용
- 페이로드 없는 데이터 유출 중심 전략 활용
- 펑크섹(Funksec)
- AI 기반 멀웨어 활용, 낮은 몸값 전략
- 유출 데이터 진위 여부 논란 존재
- 록빗(LockBit)
- 2024년 수사 이후 재활성화 움직임
- 미국 등 주요 기반시설 다수 공격, 러시아 연계 지목
- 링크스(Lynx)
- INC 랜섬웨어와 코드 중복, 윤리적 공격 주장
- 미국 에너지·환경 산업 표적
- 메두사(Medusa)
- 공개 시스템 및 피싱 기반 침투
- 교육, 의료 등 핵심 산업에 집중
- 플레이(Play)
- 다크웹 비노출 전략, 북한 APT와 연계 의혹
- 보안 폐쇄성 주장에도 RaaS 가능성 존재
- 퀼린(Qilin)
- 고·러스트 기반, VM웨어 ESXi 집중 공격
- 러시아어 기반 지하 포럼에서 활동
- 랜섬허브(RansomHub)
- 전신은 사이클롭스/나이트, 제휴사 모집 적극적
- 210건 이상 공격 연루, 제휴 친화적 RaaS 모델
- 아키라(Akira)
- 결론
- 랜섬웨어 시장은 전통적 조직 중심 구조에서 다중 제휴 모델로 급속히 진화 중
- AI 활용, 타깃 산업 정교화, 국가 지원 그룹 연계 가능성 등 보안 위협이 복합화됨
- 사이버보안 관점에서는 RaaS 탐지 강화, 초기 액세스 탐지, 인프라 취약점 대응, 대응 체계 자동화가 핵심 과제로 부상
- 국가 기반 인프라, 의료·금융 기관은 업계별 TTP에 맞춘 위협 인텔리전스 체계 구축 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| eBPF는 컨테이너 네트워킹을 어떻게 바꿔놓았나 (0) | 2025.03.31 |
|---|---|
| 2025년 데이터 및 분석 전략을 이끄는 9가지 핵심 키워드 (0) | 2025.03.31 |
| 스팸 메일 대응 시 보안 위협과 안전한 대처 방법 (0) | 2025.03.31 |
| 생성형 AI 확산에 따른 데이터 산업 구조 변화 분석 (0) | 2025.03.31 |
| 사이버 보안 등급 결합한 서드파티 위험관리 플랫폼의 보안 시사점 (0) | 2025.03.31 |