[아이티데일리] 글로벌 서비스형 랜섬웨어(RaaS) ‘랜섬허브(RansomHub)’가 맞춤형 백도어로 공격 전략을 고도화한 것으로 나타났다.

14일 이스트시큐리티(대표 정진일)는 랜섬허브 사례를 포함한 2025년 1분기 주요 랜섬웨어 동향을 발표했다.

이스트시큐리티가 발표한 올해 1분기 랜섬웨어 동향에는 △랜섬허브, 새로운 맞춤형 백도어 비트루거(Betruger) 사용 △1분기 새로 등장한 RaaS △미국 정부 기관, 고스트(Ghost) 랜섬웨어에 대한 공동 권고문 발표 △랜섬웨어 조직, 취약점을 악용한 초기 침투 지속 △1분기 새로 등장한 랜섬웨어 소개 등이 꼽혔다.

자료에 따르면 랜섬허브는 최근 맞춤형 백도어 ‘비트루거’를 바탕으로 지능적인 공격을 펼치고 있다. 이 조직은 지난해 2월 등장 후 빠른 속도로 성장하며 RaaS 시장의 강자로 자리매김하고 있다.

비트루거는 랜섬웨어 공격을 위해 특별히 개발된 다기능 백도어로 스크린샷 캡처, 키로깅, 파일 업로드 등 다양한 기능을 담고 있다. 이스트시큐리티는 현재 확인된 랜섬허브 공격 사례에서 해당 백도어가 사용된 사실을 확인했다. 일반적으로 랜섬웨어에서 파일 암호화 외에 특정 악성코드를 사용하는 경우는 매우 드물며 향후 유사한 공격 확산이 우려된다고 회사는 설명했다.

랜섬허브 외에 새로운 RaaS 조직도 모습을 드러내고 있다. 대표적으로 지난해 12월 등장한 모피어스(Morpheus)는 RaaS 모델을 기반으로 정부기관, 대기업 등 고부가가치 대상에 공격을 집중하고 있다. 또 차차(ChaCha), ECIES 암호화 알고리즘을 사용한 빠른 암호화 속도와 권한 상승 매커니즘 등을 갖춘 것으로 확인됐다.

아울러 사이버보안 및 인프라 보안국(CISA), 연방수사국(FBI) 등 미국 정부 기관에서는 중국 연계로 추정되는 고스트 랜섬웨어에 대해 공동 권고문을 발표했다. 해당 랜섬웨어는 2021년 초 등장한 후로 지금까지 70여 개국 대상으로 공격을 지속하고 있다. 공개된 취약점을 악용한 공격이 주요 방식으로, 기관들은 비정상 트래픽 모니터링, 다중 인증(MFA) 구현 등 기본 보안 수칙 준수가 요망된다.

이스트시큐리티 시큐리티 대응센서(ESRC) 관계자는 “이미 알려진 취약점을 이용한 랜섬웨어 공격이 이어지고 있다”며 “보안 담당자들은 사내 인프라 점검으로 취약점을 보완하며, 패치 적용이 어려울 시 추가 보안 조치 등 피해 최소화 방안을 강구해야 한다”고 밝혔다.

한편, 이스트시큐리티는 자사 보안 프로그램 ‘알약’의 랜섬웨어 차단 성과도 공유했다. 회사에 따르면, 알약은 올해 1분기 행위 기반 사전 차단 기능으로 총 63,909건의 랜섬웨어 공격을 막았다.