압박받는 랜섬웨어: 변화하는 위협 환경에서의 전술, 기법 및 절차

해당 블로그의 원문은 2026년 3월 17일 Google Cloud 블로그(영문)에 게재되었습니다. 

작성자: Bavi Sadayappan, Zach Riddle, Ioana Teaca, Kimberly Goody, Genevieve Stark

서론

많은 금전적 동기를 가진 위협 행위자들이 수익 창출 전략을 침해 후 랜섬웨어 배포 방식으로 전환하기 시작한 2018년 이후, 랜섬웨어는 거의 모든 산업군과 지역에서 조직에 가장 광범위한 영향을 미치는 위협 중 하나가 되었습니다. 최근 몇 년 동안 랜섬웨어 운영은 더욱 진화하여, 랜섬웨어 서비스(RaaS) 비즈니스 모델의 확산에서 볼 수 있듯이 지하 커뮤니티의 상품화 및 전문화를 통해 진입 장벽을 낮추며 강력한 생태계를 구축했습니다. 랜섬웨어는 엄청난 활동량과 심각한 운영 중단 가능성 때문에 여전히 지배적인 위협으로 남아 있지만, 우리는 랜섬웨어 운영의 전반적인 수익성이 감소하고 있음을 나타내는 여러 지표를 관찰했습니다.

이러한 추세는 사이버 보안 관행의 개선, 조직의 복구 능력 향상, 랜섬웨어 지불 금액 및 비율의 감소 등 여러 요인이 복합적으로 작용한 결과로 보입니다. 또한, 최근 몇 년 동안 사법 기관의 공조 수사와 같은 외부적 힘부터 행위자 간의 내부 갈등에 이르기까지 수많은 혼란이 랜섬웨어 생태계에 영향을 미쳤습니다. 이러한 요인들은 과거에 왕성하게 활동했던 LockBit, ALPHV, Basta, RansomHub와 같은 RaaS 그룹의 실종이나 심각한 약화로 이어졌습니다. 그러나 이러한 변화에도 불구하고, 잘 정착된 Qilin과 Akira RaaS 브랜드가 그 공백을 메우기 위해 부상했으며, 그 결과 2025년 데이터 유출 사이트(DLS)에 게시된 피해자 수는 사상 최고치를 기록했습니다(그림 1).

이 보고서는 Mandiant Consulting이 대응한 2025년 랜섬웨어 침해 사고에서 직접 관찰된 랜섬웨어 동향과 공통적인 전술, 기법 및 절차(TTP)에 대한 개요를 제공합니다. 본 분석에서 단순 데이터 탈취 협박(extortion)에만 집중된 활동은 제외되었습니다. 주요 통찰력은 다음과 같습니다.

• 사고의 1/3에서 초기 침투 경로(Initial Access Vector)는 취약점 악용(확인됨 또는 의심됨)이었으며, 가장 빈번하게 악용된 것은 일반적인 VPN 및 방화벽이었습니다.

• 분석된 랜섬웨어 침입의 77%에서 데이터 탈취 의심 사례가 포함되었으며, 이는 2024년의 57%에서 눈에 띄게 증가한 수치입니다.

• 2025년에 대응한 랜섬웨어 침입의 약 43%에서 위협 행위자가 가상화 인프라를 타겟팅한 것이 관찰되었으며, 이는 2024년의 29%에서 증가한 수치입니다.

• REDBIKE가 가장 빈번하게 배포된 랜섬웨어 패밀리였으며, 분석된 랜섬웨어 사고의 30%를 차지했습니다.

• BEACON 및 MIMIKATZ와 같은 특정 침투 도구의 사용 감소와 원격 관리 도구에 대한 의존도 정체 등 이전 연도의 여러 추세가 일관되게 유지되었습니다.

구글 위협 인텔리전스 그룹(GTIG)의 TTP 분석은 주로 Mandiant의 업무 데이터를 기반으로 하므로 전 세계 랜섬웨어 침입 활동의 표본만을 나타냅니다. 이러한 사고들은 네트워크 침입 활동 이후 랜섬웨어를 배포하는 형태였으며, 대부분의 사고에는 데이터 탈취 협박이 포함되었습니다. 피해 조직들은 아시아 태평양(JAPAC), 유럽, 북미, 남미 지역에 기반을 두고 있으며 거의 모든 산업 분야에 걸쳐 있습니다.

우리는 2026년에도 랜섬웨어가 가장 영향력 있는 사이버 위협 중 하나로 남을 것으로 예상하지만, 수익 감소로 인해 일부 위협 행위자들이 타겟팅 전략의 지속적인 변경, 데이터 탈취 협박 운영의 추가 확대, 더 공격적인 협박 전술 사용, 또는 피해 환경에 대한 액세스 권한을 2차 수익 창출 메커니즘으로 기회주의적으로 활용하는 등 다른 수익화 방법과 전술을 사용할 수 있습니다.

랜섬웨어 위협 대응을 돕기 위한 권장 사항은 당사의 백서인 랜섬웨어 보호 및 억제 전략: 엔드포인트 보호, 보안 강화 및 억제를 위한 실용 지침에 요약되어 있습니다.

2025년 랜섬웨어 환경은 최소 하나 이상의 게시물이 등록된 고유한 데이터 유출 사이트(DLS)의 수가 사상 최고치를 기록하면서 더욱 혼잡해졌습니다. 갈취(extortion) 작전에 참여하는 랜섬웨어 공격자 풀의 증가와 사법 기관의 지속적이고 집중적인 단속, 그리고 조직 보안의 강화가 맞물려 최근 몇 년간 랜섬웨어 운영자의 이윤 마진이 줄어들었을 가능성이 큽니다. 이에 대응하여, 위협 행위자들은 공격 대상부터 사용하는 기술에 이르기까지 새로운 전략을 채택하는 것으로 보입니다. 이러한 진화에는 소규모 조직을 대상으로 한 공격의 뚜렷한 증가와 랜섬웨어 배포 없는 데이터 탈취 협박에 집중할 가능성 등이 포함됩니다.

더 나아가, 위협 행위자들은 협상 등 운영의 특정 측면에 인공지능(AI)을 통합하고 있으며, 인프라의 복원력을 강화하기 위해 Web3 기술을 활용하고 있습니다. 이러한 측면에서의 확장이 관찰되는 한편, 최근 몇 년간 나타난 대내외적인 혼란으로 인해 일부 위협 행위자들은 더욱 신중해졌으며, 잠재적인 파트너에 대한 검증을 보다 엄격하게 진행하고 있습니다. 우리는 랜섬웨어 공격자들이 일정 수준의 성공을 유지하거나 과거에 달성했던 수익성 수준을 회복하기 위해 앞으로도 전술을 지속적으로 조정하고 진화시킬 것으로 예상합니다.

2025년은 DLS 게시물 수에서 기록적인 한 해였으며, 전체 게시물 수는 2024년 대비 거의 50%를 넘어섰습니다. 이러한 기록적인 수치에도 불구하고, 랜섬웨어 활동의 전체 규모를 파악하기 위해 DLS 데이터에만 전적으로 의존하는 것은 주의해야 합니다. 위협 행위자들은 일반적으로 협박 협상을 시작하거나 완료하기를 거부한 피해자에 대해서만 DLS 게시물을 생성합니다. 공개된 보고서에 따르면, 랜섬웨어 지불 비율은 감소하고 있으며, 이는 적어도 부분적으로는 셰이밍 사이트(shaming sites, 피해자 공개 사이트) 게시물의 꾸준한 증가를 부추길 수 있습니다.

또한 순수 데이터 탈취 작전과 관련된 DLS 게시물과 랜섬웨어 배포가 포함된 게시물을 구별하는 것은 어려울 수 있습니다. 예를 들어, CL0P DLS와 관련된 위협 행위자들은 여전히 간헐적으로 랜섬웨어를 배포하지만, 주로 순수 데이터 탈취 협박 작전으로 전환했습니다. 따라서 2025년에 CL0P가 세 번째로 활발한 DLS였음에도 불구하고, 해당 게시물과 관련된 대부분의 사고에는 랜섬웨어가 포함되지 않았습니다.

우리는 BABUK 2.0과 관련된 행위자들처럼 주장을 조작 및 과장하거나, 피해자 수를 부풀리기 위해 주장을 재게시하는 수많은 사례도 관찰했습니다. 마지막으로, 모든 주장이 동일한 중요성을 가지는 것은 아닙니다. 예를 들어, 2024년 12월부터 2025년 1월 사이 FUNKSEC은 가장 높은 볼륨을 기록한 DLS였지만, 관련 사고의 대부분은 데이터 탈취 협박을 위해 웹사이트를 손상시키는 비교적 낮은 영향력의 사건으로 보였습니다.

랜섬웨어는 역사적으로 매우 수익성이 높은 수단이었지만, 최근의 사법 기관의 단속(disruptions) 및 조직 보안의 강화가 이러한 수익 창출에 영향을 미치고 있을 수 있습니다. 공개된 보고서에 따르면 랜섬 지불 비율과 평균 랜섬 요구액 모두 감소하고 있습니다. 2026년 2월, Coveware는 지난 몇 년간 랜섬 지불 비율이 전반적으로 감소하여 2025년 4분기에 사상 최저치를 기록했다고 보고했습니다. 유사하게, 2025년 6월 Sophos는 평균 랜섬 요구액이 작년 한 해 동안 1/3로 감소하여 2024년 200만 달러에서 2025년 134만 달러로 떨어졌다고 보고했습니다.

또한, 공개된 보고서들은 랜섬웨어 피해 조직들이 더 쉽게 복구할 수 있게 되었음을 시사하며, 이는 랜섬 지불 감소에 기여할 가능성이 큽니다. 예를 들어, 2025년 2월 Unit 42는 기업들이 랜섬웨어 사고로부터 복구하는 능력을 개선했다고 보고했습니다. 2024년에는 랜섬웨어 피해자의 거의 절반이 백업에서 복구할 수 있었으며, 이는 2023년의 약 28%, 2022년의 11%와 비교되는 수치입니다.

조직 보안의 개선과 랜섬웨어 공격으로부터 복구하는 피해자의 능력 향상으로 인해, 일부 공격자들은 데이터 유출(data theft)을 수익 확보를 위한 더 안정적인 방법으로 간주하게 되었을 수 있습니다. Mandiant가 조사한 침입 사례에서 우리는 기존 랜섬웨어 배포의 감소와 함께 데이터 유출 기반 익스토션(data theft extortion)의 증가를 관찰했습니다. 또한, 일부 RaaS 프로그램은 랜섬웨어와 함께 순수 데이터 유출 기반 익스토션 옵션만을 제공하고 있으며, 이는 고객층의 요구를 반영한 것일 수 있습니다.

특히 대규모 조직의 더욱 강력한 보안 태세가 위협 행위자들로 하여금 타겟팅을 조정하여 보안 프로그램이 덜 성숙한 소규모 조직을 대상으로 공격 규모를 확대하게 만들었다는 점도 타당합니다. DLS에 게시된 피해 조직의 규모(추정 직원 수 기반, 가능한 경우)를 분석한 결과, 위협 행위자들이 대규모 조직에서 소규모 조직으로 공격 대상을 이동한 것으로 나타났습니다(그림 3). 위협 행위자들은 이러한 추세에 대해 직접 언급하기도 했습니다. 예를 들어, 2024년 4월 및 5월 유출된 채팅에서 한 Basta 행위자는 "일반적인 네트워크"와 비교할 때 소규모 회사 네트워크를 타겟팅하는 것이 더 효과적일 것이라는 이론을 세웠습니다.

2025년 동안 랜섬웨어 생태계에는 수많은 파괴적인 사건(disruptive events)이 영향을 미쳤습니다. 여기에는 사법 기관 및 정부의 조치뿐만 아니라, 최소한 일부는 위협 행위자들 사이의 혼란으로 인한 것으로 보이는 데이터 유출 및 분쟁이 포함되었습니다(그림 4). 이러한 많은 사건들은 체포, 압수, 제재와 같은 직접적인 타격(disruption)을 초래했을 뿐만 아니라, 일부 위협 행위자들이 TTP(전술·기법·절차)를 변경하도록 강제했고, 보안 연구원들에게 일부 랜섬웨어 운영의 내부 방식과 그 배후에 있는 개인에 대한 귀중한 통찰력을 제공했습니다.

그럼에도 불구하고 2025년 오랜 기간 활동해 온 Qilin과 Akira 브랜드의 지배력은 랜섬웨어 행위자들의 복원력과 경쟁 RaaS(랜섬웨어 서비스) 운영자의 폐쇄(takedowns) 및 먹튀(exit scams) 이후 생긴 공백을 메우는 그들의 능력을 보여줍니다. 랜섬웨어 위협 환경의 전반적인 불안정성과 사법 기관의 압박이 결합되어, 랜섬웨어 팀들이 운영 보안(operational security)을 강화하고 잠재적인 제휴 파트너(affiliates)에 대한 검증을 더욱 엄격하게 진행하게 되었다는 몇 가지 징후가 있습니다.

우리는 또한 일부 비공개 또는 반비공개 오퍼링(private or semi-private offerings)이 두각을 나타내는 것을 보았습니다. 예를 들어, 2025년은 지난 4년 동안 가장 활발하게 활동한 상위 2개 RaaS 운영 중 하나가 공개되지 않은 첫해였습니다. Akira는 제휴 파트너를 보유하고 있는 것으로 보이지만, 그들의 운영에 대한 공개적인 광고는 하지 않고 있습니다.

2025년, 랜섬웨어 공격자들은 운영의 효율성과 실효성을 높이기 위해 신기술 및 기존 기술들을 채택하며 운영 방식을 지속적으로 진화시켰습니다. 일부 위협 행위자들은 사법 기관의 폐쇄 조치와 탐지 시도로부터 인프라의 복원력을 높이기 위해 웹3(Web3) 기술을 운영에 통합하고 있습니다. 일례로 Cry0 RaaS는 분산형 캐니스터 스마트 계약(canister smart contracts)을 통해 협상 사이트를 호스팅함으로써 TOR 없이도 클리어넷(clearnet) 접속이 가능하다고 주장하며, DEADLOCK 랜섬웨어는 C2 인프라를 저장하고 교체하기 위해 폴리곤(Polygon) 스마트 계약을 활용했습니다.

또한 RaaS 오퍼링에 AI 기능을 통합하는 추세도 관찰되었습니다. GLOBAL RaaS는 피해자 분석 및 커뮤니케이션을 지원하는 AI 채팅 기능을 제공하는 것으로 알려졌으며, CHAOS는 구체적인 용도는 불분명하나 "내장 AI 챗봇"을 포함하고 있다고 주장했습니다. BERT는 AI 기반 데이터 분석을 통해 피해자의 취약점(pressure points)을 식별하는 것으로 알려졌습니다. 마지막으로, Windows와 Linux 시스템 모두에서 실행 가능한 랜섬웨어 패밀리의 수가 2024년 대비 두 배 증가했습니다. 이는 위협 행위자들이 개별적인 변종을 여러 개 만드는 대신, 운영 지원을 위해 크로스 플랫폼(cross-platform) 랜섬웨어로 전환하고 있음을 시사합니다.

주요 관찰 전술, 기법 및 절차

다음 섹션에서는 침해 후 랜섬웨어 배포 사고에서 관찰된 TTP의 추세를 다루며, 이는 구글 위협 인텔리전스 그룹(GTIG)의 공격 수명 주기 모델(그림 5)의 각 단계에 따라 정리되었습니다. 이 섹션에 기술된 TTP들은 2025년 한 해 동안 Mandiant가 주도한 랜섬웨어 조사 과정에서 관찰된 것입니다.

초기 침투

2025년 랜섬웨어 침해 사고에서 가장 흔하게 식별된 초기 침투 경로는 취약점 악용(확인됨 또는 의심됨)으로 전체 사고의 3분의 1을 차지했으며, 그 뒤를 웹 사이트 침해, 탈취된 자격 증명(stolen credentials), 무차별 대입 공격(bruteforce attacks)이 이었습니다(그림 6). 특히, 보이스 피싱(voice phishing)은 여러 세간의 이목을 끄는 데이터 탈취 협박 캠페인에서 흔히 사용되는 전술이었지만 랜섬웨어 사고에서는 관찰되지 않았습니다.

올해 보고서에서는 보다 전체적인 시각을 제공하기 위해 초기 침투 경로로 의심되는 사례도 분석에 포함했습니다. 일부 경로는 검증하기 더 어려울 수 있기 때문입니다. 예를 들어 탈취된 자격 증명의 사용을 확인하는 것은 어려울 수 있는데, 이는 해당 자격 증명이 수주 전에 발생한 별도의 사고나 심지어 개인 기기에서 수집되었을 수 있기 때문입니다. 반대로, 무차별 대입 공격은 경로를 확인하는 데 사용할 수 있는 많은 로그 항목을 생성하는 경향이 있습니다.

• 2025년 내내 랜섬웨어 운영자들이 초기 침투를 위해 광범위한 익스플로잇(exploits)을 활용하는 것을 관찰했습니다(표 1). 관찰되거나 의심되는 악용 활동의 대부분은 2025년 이전에 공개된 취약점과 관련이 있었지만, 최소한 일부 랜섬웨어 행위자들이 운영에 제로데이(zero-day) 익스플로잇을 활용하고 있다는 여러 지표를 관찰했습니다.

  • 익스플로잇이 사용되거나 의심되는 대부분의 사례에서, 위협 행위자들은 Fortinet (CVE-2024-55591, CVE-2024-21762, CVE-2019-6693), SonicWall (CVE-2024-40766), Palo Alto (CVE-2024-3400), Citrix (CVE-2023-4966)와 같은 일반적인 VPN 및 방화벽의 취약점을 타겟팅했습니다.

  • 또한 악의적인 행위자들이 Veritas Backup Exec, Zoho ManageEngine, Microsoft Sharepoint, SAP Netweaver를 포함하여 외부에 노출된 다양한 다른 서비스들을 성공적으로 악용하는 것도 관찰했습니다.

  • 연중 내내 여러 랜섬웨어 및/또는 데이터 유출 갈취 운영에서 초기 침투를 위해 제로데이 취약점을 활용했다는 증거를 관찰했습니다.

    • 2025년 7월 중순, UNC6357 행위자는 Microsoft Sharepoint 취약점(CVE-2025-53770 및 CVE-2025-53771)을 악용하여 피해자 환경에 대한 액세스 권한을 얻고 궁극적으로 LOCKBIT.WARLOCK을 배포하려고 시도했습니다. 이는 취약점 공개 이후에 관찰되었지만, 로그 데이터와 공개된 보고서를 포함한 여러 증거는 동일한 행위자가 이 취약점을 제로데이로 악용하려고 시도했음을 시사합니다.

    • 2025년 8월, GTIG는 UNC2165가 MYTHICAGENT 배포를 위해 CVE-2025-8088에 대한 제로데이 익스플로잇을 활용했다고 높은 신뢰도(high confidence)로 평가했습니다.

    • 관찰된 사고에 랜섬웨어 배포가 포함되지는 않았지만, CL0P DLS와 관련된 위협 행위자들은 Oracle EBS 환경을 대상으로 CVE-2025-61882를 제로데이로 악용했을 수 있습니다. CL0P DLS는 CLOP 랜섬웨어가 포함된 다면적인 갈취 운영과 연관되어 왔지만, 주로 랜섬웨어 배포보다는 데이터 유출 갈취 운영과 관련이 있습니다.

• 랜섬웨어 운영자 본인과 궁극적으로 후속 랜섬웨어 침입으로 이어진 초기 침투 파트너를 포함하여, 초기 침투를 위한 멀웨어 페이로드를 배포하기 위해 악성 광고(malvertising) 및/또는 검색 엔진 최적화(SEO) 전술을 활용하는 다수의 위협 클러스터를 관찰했습니다.

  • 다수의 UNC6016 멀웨어 배포 운영에서 악성 광고를 활용하여 PuTTY와 같은 합법적인 소프트웨어 도구로 위장한 멀웨어 페이로드를 배포하고 초기 액세스 권한을 얻는 것을 관찰했습니다. 관찰된 UNC6016 액세스 운영 중 적어도 일부는 결과적으로 NITROGEN 또는 RHYSIDA 랜섬웨어 배포로 이어졌습니다.

  • UNC2465는 주기적으로 악성 광고 및/또는 SEO 기법을 활용하여 RVTOOL 설치 프로그램으로 위장한 SMOKEDHAM 페이로드를 배포했습니다.

• 올해는 빈도가 줄었지만, 많은 위협 행위자들이 초기 침투를 위해 여전히 탈취된 자격 증명에 의존했습니다. 초기 침투 경로가 식별된 침입의 21%에서 위협 행위자는 손상된 합법적인 자격 증명을 활용하여 피해자 환경에 액세스했으며, 일반적으로 피해자의 VPN에 대한 인증이나 원격 데스크톱 프로토콜(RDP) 로그인이 포함되었습니다. 탈취된 자격 증명의 출처를 항상 확인할 수 있는 것은 아니지만, 행위자들은 지하 포럼에서 자격 증명을 구매하거나 정보 탈취(infostealer) 로그에 노출된 자격 증명을 사용하는 등 다양한 기술을 통해 획득할 수 있습니다.

• 일부 공격자들이 피해자의 VPN을 대상으로 무차별 대입 공격을 활용하는 것을 계속 확인했습니다. 자신을 Daixin으로 식별한 랜섬웨어와 관련된 한 사고에서 위협 행위자는 성공적으로 초기 액세스 권한을 얻기 전까지 약 1년 동안 다양한 VPN 사용자 계정에 대해 주기적인 무차별 대입 공격을 수행했습니다.

• 랜섬웨어 운영자가 중간 네트워크를 통해 피해자에게 액세스 권한을 얻은 여러 침입을 관찰했습니다.

  • 이후 피해자 네트워크에 액세스하기 위해 자회사에 대한 네트워크 액세스 권한을 활용한 각기 다른 랜섬웨어 운영을 여러 건 관찰했습니다. 한 사례에서 위협 행위자는 자회사에 대한 액세스 권한을 활용하여 피해자의 VPN에 대한 무차별 대입 액세스를 시도했습니다.

  • 별도의 사고에서 위협 행위자는 타사 공급업체가 소유한 VPN 연결을 활용하여 피해자 환경 내의 운영 기술(OT) 시스템에 액세스했습니다.

• CLOP 랜섬웨어 배포로 이어진 한 침입에서, UNC5833은 헬프데스크 사용자를 사칭하여 Microsoft Teams 채팅 세션을 통해 직원을 사회공학적 기법으로 속여 Quick Assist를 설치하도록 유도한 초기 침투 파트너로부터 액세스 권한을 얻었습니다. 2025년에 우리가 관찰한 사고에서는 랜섬웨어 운영자의 사회공학적 기법 사용이 제한적이었지만, 금전적 동기를 가진 침입 행위자들 사이에서는 여전히 널리 쓰이는 기법입니다.

거점 확보 및 지속성 유지

피해자 환경 내부에 진입한 위협 행위자들은 유효한 자격 증명, 터널러(tunnelers), 백도어, 또는 합법적인 원격 액세스 도구를 활용하는 등 거점을 확보하고 지속성을 유지하기 위해 다양한 기법을 사용했습니다. 2024년에 비해 약간 낮은 비율이긴 하지만, 위협 행위자들은 공격 수명 주기의 이 두 단계를 지원하기 위해 원격 관리 도구를 계속 사용했습니다.

• 랜섬웨어 행위자들은 피해자 환경에 거점을 확보하기 위해 손상된 자격 증명에 지속적으로 의존했습니다.

  • 이들은 네트워크 서비스에 인증한 후, 액세스를 유지하기 위해 권한이 높은 계정을 프로비저닝(provision)하거나 수정하는 데 이러한 자격 증명을 자주 사용했습니다. 예를 들어, RIFTTEAR 사고에서 위협 행위자는 Kerberos를 통해 권한 있는 시스템에 인증하고, AD 도메인 사용자를 프로비저닝한 다음, 해당 계정을 고권한 그룹에 추가했습니다. 또한 여러 위협 행위자가 ESXi 호스트의 루트(root) 계정 비밀번호를 변경하는 것도 확인했습니다.

• 2025년에는 2024년 관찰 결과에 비해 이러한 단계를 지원하기 위해 터널러를 채택한 위협 행위자의 수가 증가했습니다. 관찰된 터널러에는 LIONSHARE, VIPERTUNNEL, BLUNDERBLIGHT와 같은 비공개 터널러와 함께 PYSOXY, CHISEL, CLOUDFLARED, RPIVOT, REVSOCKS.CLIENT 등 공개적으로 사용 가능한 도구들이 포함되었습니다.

  • LOCKBIT.WARLOCK 사고에서는 Microsoft SharePoint 취약점 악용을 통해 원격 코드 실행(RCE)이 가능해졌고, Windows msiexec 명령줄 유틸리티를 통해 Github에서 CLOUDFLARED를 설치하는 데 필요한 액세스 권한을 얻어 아웃바운드 전용 C2(명령 및 제어) 채널을 구축했습니다.

• 위협 행위자의 일부 하위 그룹은 거점 확보를 위해 CORNFLAKE.V3.JAVASCRIPT, SQUIDGATE, FIREHAWK, HAVOCDEMON, SMOKEDHAM을 포함한 백도어를 배포했습니다.

  • FIN6 위협 클러스터로 의심되는 UNC6021은 SQUIDGATE의 내장 기능을 사용하여 C언어로 작성된 초기 거점(toehold) 백도어인 FIREHAWK를 배포했습니다. FIN6 감염 패턴과 일치하게, LinkedIn에서의 사회공학적 기법을 통해 사용자가 BULLZLINK 다운로더가 포함된 ZIP 아카이브를 호스팅하는 악성 웹사이트에 접속하도록 유도했습니다. 실행 후, SQUIDGATE 페이로드가 포함된 SQUIDSLEEP의 드로퍼(dropper) 변종을 검색해왔습니다.

• 2025년에는 다수의 랜섬웨어 공격자가 공격 수명 주기의 여러 단계에서 원격 모니터링 및 관리 도구(RMM)에 의존했습니다. 우리는 침해 사고에서 ANYDESK, SCREENCONNECT, SPLASHTOP을 포함한 다양한 합법적 도구들이 악용되는 것을 관찰했습니다(표 2).

  • UNC2465 사고에서, 위협 행위자들은 초기 침투 후 몇 주가 지나 Time Doctor와 함께 TERAMIND RMM을 설치했습니다. Time Doctor는 직원 모니터링 도구로, 시스템의 스크린샷 및 화면 녹화는 물론 웹사이트 및 애플리케이션 사용 기록을 추적할 수 있습니다.

• 위협 행위자들은 랜섬웨어 운영에서 BEACON에 대한 의존도를 계속 줄였습니다. 침입의 약 2%에서 BEACON이 관찰되었는데, 이는 2024년에 이미 감소했던 11%에서 더 줄어든 수치입니다. 그러나 다수의 위협 클러스터가 AdaptixC2 (ADAPTAGENT), Exploration C2 (EXPLORATIONC2), 또는 MYTHIC과 같은 다른 공격 후(post-exploitation) 프레임워크를 사용했습니다.

  • UNC2165 RANSOMHUB 사고에서, 위협 행위자들은 MYTHIC을 위한 지속성 메커니즘으로 COM 하이재킹(COM hijacking)을 사용했습니다. UNC2165는 "Temp" 폴더에 MYTHIC을 생성하고 이름을 "msedge.dll"로 변경한 다음, InprocServer32에 대한 레지스트리 키를 수정하여 MYTHIC 페이로드를 가리키도록 했습니다.

• 위협 행위자들은 백도어나 터널러 같은 멀웨어를 프로그래밍 방식으로 반복 실행하기 위해 서비스(services)를 생성하고 예약된 작업(scheduled tasks)을 등록하는 데 종종 기본 Windows 기능을 사용했습니다. 예를 들어, RHYSIDA 사고에서 위협 행위자들은 12시간마다 LIONSHARE 터널러를 실행하도록 예약된 작업을 등록했습니다(그림 7).

• TridentLocker 브랜드 사고에서 위협 행위자들은 .NET 어셈블리로 구현된 다운로더인 WAVECALL을 CrushFTP가 실행 중인 피해자 서버에 업로드했습니다. 이들은 파일 미리 보기를 처리하는 데 사용되는 명령줄 명령어(command-line instruction)를 수정하여, ImageMagick 및 ExifTool 유틸리티에 대해 구성된 실행 파일 경로를 WAVECALL 어셈블리로 교체함으로써 파일 미리 보기 작업이 시작될 때마다 실행되도록 했습니다. 행위자들은 나중에 이 구성을 되돌리고 명령줄 명령어를 업데이트하여 후속 페이로드를 배포하는 Base64로 인코딩된 PowerShell 스크립트를 실행했습니다.

/Create /SC MINUTE /MO 720 /TN Reg /TR "C:\Windows\System32\rundll32.exe C:\windows\system32\config\red.dll Test" /ru system

그림 7: LIONSHARE를 실행하도록 설정된 예약된 작업

권한 상승

높은 권한을 가진 계정에 대한 액세스 권한을 얻는 것은 안티바이러스(AV) 소프트웨어 비활성화, 백업 삭제, 네트워크 전반에 걸친 랜섬웨어 배포 등 공격의 다음 단계를 가능하게 하므로 랜섬웨어 행위자에게 매우 중요한 단계입니다. 위협 행위자들은 미미카츠(MIMIKATZ) 활용, Windows 운영 체제에 저장된 자격 증명 덤프(dumping), Active Directory(AD) 악용을 포함하여 다양한 권한 상승 도구와 기술에 계속 의존하고 있습니다.

• 2025년 랜섬웨어 침입의 약 18%에서 위협 행위자들이 MIMIKATZ를 활용하는 것을 관찰했습니다. 이는 2024년 전체 랜섬웨어 침입의 20%에서 감소한 수치로, 최근 몇 년간 전반적인 사용량이 지속적으로 소폭 감소하고 있음을 보여줍니다. 특히, 공개적으로 사용 가능한 다른 권한 상승 및 자격 증명 탈취 도구의 사용 감소도 관찰되었습니다. 예를 들어, 2025년에는 어떤 랜섬웨어 침입에서도 LAZAGNE가 관찰되지 않았으며, 이는 2022년 6%, 2023년 4%, 2024년 2%에서 계속 줄어든 결과입니다.

• 최근 몇 년과 일관되게, 2025년 내내 위협 행위자들은 권한 있는 계정에 액세스하기 위해 Windows 인증 시스템을 표적으로 삼는 무수히 많은 기술을 사용했습니다.

  • 위협 행위자들이 로컬 보안 권한 하위 시스템 서비스(LSASS) 프로세스 메모리를 덤프하고, Active Directory 도메인 데이터베이스(NTDS.dit) 파일을 복사하며, 보안 계정 관리자(SAM), SYSTEM 및 SECURITY 레지스트리 하이브(hives)를 내보내는 방식으로 Windows 시스템에 저장된 자격 증명을 획득하려 시도하는 것을 빈번하게 관찰했습니다.

  • 관찰된 다른 방법으로는 커베로스팅(Kerberoasting), WDigest 자격 증명 캐싱을 활성화하기 위한 레지스트리 수정, Windows 데이터 보호 API(DPAPI)를 통한 자격 증명 복구 등이 있습니다.

  • 위협 행위자들은 손상된 계정과 자신들이 프로비저닝한 계정을 로컬 및 도메인 관리자 그룹에 추가하거나, SeRemoteInteractiveLogonRight, SeDebugPrivilege, SeLoadDriverPrivilege, SeBackupPrivilege와 같은 추가 권한을 부여하여 계정의 권한을 정기적으로 상승시켰습니다.

  • 일부 침입에서 위협 행위자들은 DCSync 복제 및 AD 인증서 서비스(AD CS)의 오용을 포함한 다양한 수단을 통해 높은 권한을 얻기 위해 AD 역할을 악용했습니다. MEDUSALOCKER.V2 사고에서 위협 행위자들은 Move-ADDirectoryServerOperationMasterRole cmdlet을 실행하여 피해자의 AD 도메인 컨트롤러에서 위장(rogue) 도메인 컨트롤러로 의심되는 곳으로 FSMO(Flexible Single Master Operation) 역할을 이전했습니다.

• 다수의 위협 행위자가 백업 도구, 브라우저, 암호 관리자, 평문(cleartext)으로 저장된 자격 증명 등 다양한 내부 출처에서 자격 증명을 수집(harvest)하려 시도하는 것을 관찰했습니다.

  • 약 10%의 침입에서 위협 행위자들이 자격 증명 수집을 위해 Veeam Backup & Replication을 타겟팅하는 것을 관찰했으며, 이는 2024년에 관찰된 활동과 일치합니다. 여러 위협 행위자가 공개적으로 사용 가능한 Veeam-Get-Creds.ps1 스크립트나 맞춤형 PowerShell 스크립트를 사용하여 Veeam 구성 데이터베이스에 저장된 자격 증명을 획득했습니다.

  • 소수의 사고에서는 위협 행위자가 저장된 자격 증명을 얻기 위해 Chromium 기반 브라우저를 타겟팅했습니다. 예를 들어, UNC2165 RANSOMHUB 사고에서 위협 행위자들은 인라인(inline) PowerShell을 실행하여 Google Chrome 및 Microsoft Edge의 Local State 파일에서 DPAPI로 보호되는 마스터 암호화 키를 검색하고 복호화함으로써 브라우저 내에 저장된 자격 증명에 액세스했습니다.

  • 위협 행위자들은 KeePass, Bitwarden, Windows 자격 증명 관리자(Credential Manager)를 포함한 일반적인 암호 관리 도구에 액세스하거나 액세스를 시도했습니다. AGENDA 랜섬웨어가 관련된 한 UNC2465 침입 사고에서, 위협 행위자는 자체 호스팅된(self-hosted) Bitwarden 서버에 액세스하여 볼트(vault) 데이터베이스의 내용을 내보내고 유출했습니다.

  • REDBIKE 랜섬웨어 사고 중에 위협 행위자는 관리자 계정과도 공유되고 있던 SonicWall 어플라이언스에서 평문(cleartext) 비밀번호를 수집했을 가능성이 높으며, 이를 통해 도메인 관리자 권한을 얻었습니다.

• 피해자의 가상화 환경을 표적으로 삼은 한 랜섬웨어 사고에서 위협 행위자는 CVE-2024-37085를 악용하여 ESXi 하이퍼바이저에 대한 관리자 액세스 권한을 얻었습니다.

내부 정찰 

2025년 내부 정찰에 활용된 전술은 최근 몇 년간과 상당히 일관되게 유지되었습니다. 위협 행위자들은 네이티브 시스템 유틸리티, PowerShell 명령, 공개적으로 사용 가능한 소프트웨어에 계속 의존했습니다.

• 위협 행위자들은 실행 중인 프로세스, 네트워크 공유 및 사용자 그룹 멤버십을 위해 Active Directory(AD) 객체를 쿼리하는 데 일관되게 PowerShell을 사용했습니다. 이 활동은 Get-ADComputer 및 Get-ADUser와 같은 네이티브 cmdlet을 사용하는 것부터 다른 시스템 데이터를 쿼리하기 위해 스크립트 블록을 사용하는 것까지 다양했습니다.

  • 여러 사례에서 위협 행위자들은 Get-ADComputer 및 Get-ADUser를 사용하여 AD 객체 목록을 별도의 파일로 내보냈습니다. 예를 들어, MEDUSALOCKER.V2와 관련된 사고에서 위협 행위자들은 특정 사용자 객체 속성을 쿼리하고 계정 ID, 연락처 정보, 조직 메타데이터를 내보냈습니다(그림 8). 동일한 사고에서 위협 행위자들은 다른 명령을 실행하여 도메인에 가입된 컴퓨터를 쿼리하고 운영 체제(OS), IPv4 주소, 마지막 로그온 날짜와 같은 속성을 캡처했습니다(그림 9).

  • 일부 경우에는 위협 행위자들이 수많은 명령을 한 번에 실행하는 PowerShell 스크립트 블록을 실행했습니다. 예를 들어, INTERLOCK 사고에서 위협 행위자들은 현재 사용자의 사용자 이름, 보안 식별자(SID), 그룹 멤버십 식별을 포함한 사용자 프로파일링(profiling)을 수행하고, 도메인 연결을 확인하며, Domain Admins 그룹을 열거하는 압축된 한 줄 스크립트를 실행했습니다. 특히, 이 스크립트에는 연속적인 명령 실행에 대한 탐지를 회피하기 위해 명령 실행 사이에 무작위로 일시 중지를 생성하는 지터(jitter) 또는 시간 지연이 포함되었습니다.

• 위협 행위자들은 공격 수명 주기의 이 단계에서 ipconfig, netstat, ping, nltest 등을 포함한 내부 Windows 유틸리티에 크게 의존했습니다.

• 수많은 침입에서 공개적으로 사용 가능한 정찰 유틸리티가 사용되었습니다. 이러한 도구들은 Advanced IP Scanner, Softperfect Network Scanner (NETSCAN), Angry IP Scanner와 같이 네트워크 프로빙(probing)에 특화된 도구부터 PowerSploit, IMPACKET과 같은 레드팀(red-teaming) 도구까지 다양했습니다. 특히, Advanced IP Scanner, NETSCAN, Angry IP Scanner와 같은 네트워크 정찰 유틸리티는 2023년 및 2024년에 관찰된 사용량과 유사하게 전체 침입의 약 50%에서 사용되었습니다.

• 우리는 종종 위협 행위자들이 잠재적으로 민감한 정보와 관련된 파일 및 폴더에 액세스하는 것을 목격했습니다. 일부 경우에는 백업 스크립트와 암호 관리자를 검색하는 것으로 보였으며, 다른 경우에는 **데이터 유출 기반 익스토션(data theft extortion)**의 압박을 높이기 위해 외부로 유출할 민감한 파일을 찾으려 시도했을 가능성이 높습니다.

  • REDBIKE 침입에서 위협 행위자들은 "passport(여권)", "i9", "cyber insurance(사이버 보험)"와 같은 키워드를 검색했습니다. 여권 및 고용 자격 증명 양식(i9)과 같은 개인 식별 정보(PII)를 검색하는 것 외에도, 위협 행위자들이 협상 전략이나 요구할 최대 랜섬 금액을 결정하는 데 도움을 얻기 위해 피해자의 사이버 보험 정책을 입수하려 했을 가능성이 큽니다.

• 여러 위협 행위자들이 피해자 환경 내의 가상화 인프라 정보에 대한 표적화된 내부 정찰을 수행했으며, 이는 해당 시스템에 랜섬웨어를 배포하기 위한 목적일 가능성이 높습니다. REDBIKE 사고에서 위협 행위자들은 Get-VM cmdlet을 실행하여 하이퍼바이저를 열거하고 내부 VMware vSphere 웹 포털에 액세스했습니다.

powershell Import-Module ActiveDirectory; Get-ADUser -filter * -properties Enabled,DisplayName,Mail,SAMAccountName,homephone,ipphone,TelephoneNumber,comment,description,title | select Enabled,DisplayName,Mail,SAMAccountName,homephone,ipphone,TelephoneNumber,comment,description,title | export-csv C:\Users\Public\Music\users.csv 

그림 8: Get-ADUser 호스트 명령

powershell Import-Module ActiveDirectory; Get-ADComputer -Filter {enabled -eq $true} -properties *|select comment, description, Name, DNSHostName, OperatingSystem, LastLogonDate, ipv4address | Export-CSV C:\users\public\music\AllWindows.csv -NoTypeInformation -Encoding UTF8

그림 9: Get-ADComputer 호스트 명령

측면 이동

2025년 내내, 행위자들은 측면 이동(lateral movement)을 위해 탈취된 자격 증명 또는 공격자가 생성한 계정과 결합하여 RDP, 서버 메시지 블록(SMB), 시큐어 셸(SSH)을 포함한 일반적인 내장 프로토콜을 광범위하게 사용했습니다. 또한, 행위자들이 피해자 환경 내에서 트래픽을 터널링(tunneling) 및 프록시(proxying)하기 위해 다양한 도구와 유틸리티를 활용하는 것도 관찰했습니다.

• 전체 침입의 약 85%에서 위협 행위자들은 측면 이동을 위해 손상되거나 공격자가 생성한 계정과 함께 RDP를 활용했습니다.

• 다양한 사고에 걸쳐 위협 행위자들이 네트워크 공유에 액세스하고, 페이로드를 준비(stage)하며, 원격 명령을 실행하기 위한 측면 이동의 수단으로 SMB를 활용하는 것을 관찰했습니다.

  • 한 SAFEPAY 랜섬웨어 사고에서 위협 행위자는 다양한 네트워크 공유에 액세스하기 위해 SMB를 활용했으며, 이 액세스 권한을 사용하여 여러 호스트에 NETSCAN의 복사본을 준비(stage)했습니다.

  • 또한 다수의 행위자가 원격 명령 실행을 위해 IMPACKET.SMBEXEC를 활용하는 것을 관찰했습니다. 예를 들어, MEDUSALOCKER.V2 랜섬웨어로 이어진 한 침입에서 위협 행위자는 원격 호스트에 새로운 로컬 관리자 계정을 생성하는 명령을 실행하기 위해 IMPACKET.SMBEXEC를 활용했습니다.

• 수많은 사고에서 위협 행위자들이 호스트(특히 ESXi 시스템으로 측면 이동할 때)에 대한 SSH 연결을 설정하기 위해 PuTTY 및 KiTTY와 같은 일반적인 공개 유틸리티를 활용하는 것을 관찰했습니다.

• 원격 실행 및 측면 이동을 위해 PsExec, Windows 원격 관리(WinRM), 그리고 그보다는 덜하지만 Windows WMI 명령줄(WMIC)과 같은 일반적인 Windows 유틸리티가 빈번하게 사용되는 것을 계속 관찰했습니다.

  • 소수의 침입에서 위협 행위자들은 Enter-PSSession cmdlet을 사용하여 WinRM을 통해 대화형(interactive) 원격 세션을 설정하는 데 PowerShell을 사용했습니다.

  • UNC5774의 INTERLOCK 랜섬웨어 사고에서 위협 행위자들은 WinRM을 사용하여 도메인 컨트롤러에 대한 연결을 설정하고, net.exe를 사용하여 사용자 계정의 비밀번호를 재설정하는 등의 원격 명령을 실행했습니다.

  • UNC2465 사고에서 위협 행위자는 WMIC를 사용하여 원격 호스트에서 SMOKEDHAM 페이로드를 실행함으로써 측면 이동을 수행했습니다.

• 수많은 사고에서 위협 행위자들은 피해자 환경 내에서 RDP나 SMB와 같은 다양한 유형의 트래픽을 허용하기 위해 방화벽 규칙을 조작했습니다.

  • 한 사고에서 FIN6 위협 클러스터로 의심되는 UNC6021은 방화벽 규칙을 수정하여 원격 데스크톱 액세스를 허용하는 netsh 명령을 실행하는 예약된 작업(scheduled task)을 생성했습니다(그림 10).

  • UNC6276의 한 침입 사례에서 위협 행위자는 해당 호스트에 SYSTEMBC.LINUX를 배포하기 전에 ESXi 호스트의 방화벽을 비활성화했습니다.

  • 한 사고에서 위협 행위자는 호스트에 OpenSSH를 설치하고 PowerShell 명령을 실행하여 포트 22의 인바운드 트래픽을 허용하는 새로운 방화벽 규칙을 구성했습니다(그림 11).

  • INC 랜섬웨어 배포로 이어진 침입에서 위협 행위자는 공격자가 생성한 계정을 활용하여 네트워크 내의 여러 추가 서브넷에 대한 액세스를 허용하는 새로운 방화벽 정책을 생성했습니다.

• 위협 행위자들은 피해자 네트워크 내에서 트래픽을 터널링하고 프록시하기 위해 SYSTEMBC, VIPERTUNEL, PYSOXY, CLOUDFLARED, OpenSSH를 포함한 다양하고 악의적이거나 합법적인 유틸리티를 활용했습니다. 한 LOCKBIT.WARLOCK 침입에서 위협 행위자는 두 호스트 간의 RDP 연결을 터널링하기 위해 CLOUDFLARED를 활용했습니다.

• 극소수의 사고에서는 위협 행위자들이 METASPLOIT 및 AMNESIAC을 포함하여 공개적으로 사용 가능한 익스플로잇 후(post-exploitation) 도구를 활용했습니다.

• 위협 행위자들은 가상 호스트로 측면 이동하기 위해 가상 시스템용의 다양한 관리 콘솔에 대한 액세스를 종종 악용했습니다.

  • 여러 사례에서 위협 행위자들은 측면 이동을 위한 SSH 연결을 설정하기 전에 ESXi 호스트에서 SSH를 활성화하기 위해 이러한 액세스를 활용한 것으로 보입니다. 예를 들어, FOULFOG.LINUX 사고에서 위협 행위자들은 피해자의 VMware vSphere 중앙 관리 포털의 액세스를 활용하여 vm-host에서 SSH를 활성화하고, root1 사용자를 생성한 후, 새로 생성된 사용자를 사용하여 SSH에 접속하고 방화벽을 비활성화했습니다.

  • 한 사고에서 위협 행위자는 손상된 계정과 함께 피해자의 Nutanix Prism Central 관리 도구에 대한 액세스를 활용하여 여러 추가 시스템으로 측면 이동했습니다. 동일한 사고에서 위협 행위자는 수많은 ESXi 호스트에 액세스하기 위해 VMware 웹 사용자 인터페이스(UI)를 사용하기도 했습니다.

• 침입의 일부 사례에서는 위협 행위자들이 추가 시스템의 계정에 액세스하기 위해 무차별 대입 공격(bruteforce attacks)을 수행한 증거를 관찰했습니다.

cmd.exe /C netsh advfirewall firewall set rule group="remote desktop" new enable=No

그림 10: 원격 액세스를 허용하도록 방화벽 규칙을 수정하는 netsh 명령

powershell.exe -Command New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22

그림 11: 인바운드 SSH 트래픽을 허용하는 PowerShell 명령

목표 완수

다음 섹션들은 공격 수명 주기의 목표 완수 단계에 대한 관찰 결과를 중점적으로 다루며, 여기에는 랜섬웨어 배포, 데이터 유출(data exfiltration), 분석 방해(anti-analysis) 및 복구 방해 기법이 포함됩니다. 랜섬웨어 공격을 수행하는 위협 행위자들은 협상 과정에서 추가적인 영향력(leverage)을 확보하기 위해 데이터 유출을 포함하는 다면적인(multifaceted) 갈취 운영을 일상적으로 수행합니다.

또한, 보안 소프트웨어 변조, 백업 삭제, 로그 지우기 등 운영의 성공을 보장하고 피해자의 복구 능력을 감소시키기 위해 지속적으로 다양하고 광범위한 전술을 활용하고 있습니다. 2025년의 주목할 만한 트렌드로는 REDBIKE 랜섬웨어의 확산, 데이터 유출 기반 익스토션이 포함된 사고 비율의 증가, 가상 시스템을 표적으로 삼는 기법이 정교해지고 있다는 징후 등이 있습니다.

랜섬웨어 패밀리

2025년 Mandiant의 침해 사고 대응 조사에서 가장 두드러지게 관찰된 랜섬웨어는 REDBIKE였으며, 그 다음으로 AGENDA와 INC 랜섬웨어가 뒤를 이었습니다(그림 12). 2024년에 REDBIKE는 LOCKBIT.BLACK 및 RANSOMHUB와 공동 1위를 차지했으나, 2024년 LOCKBIT이 사법 기관의 조치로 인해 심각한 타격을 입었고, 2025년에는 RansomHub가 갑작스럽게 운영을 중단했습니다. 2025년 내내 NINTHBEE 및 SILVERPINE과 같이 새로 식별된 랜섬웨어가 관련된 소수의 사고도 관찰되어, 위협 행위자의 최소한 일부 하위 그룹이 새로운 랜섬웨어 제품군을 개발 및 유지 관리하고 있음을 보여줍니다.

• REDBIKE는 2025년 랜섬웨어 사고의 거의 30%에서 관찰되었으며, 이는 2023년 각각 17%를 기록했던 LOCKBIT 및 ALPHV를 포함하여 이전 단일 랜섬웨어 제품군의 최고 기록을 넘어선 수치입니다.

• 위협 행위자들이 서로 다른 갈취 브랜드(extortion brands) 하에 수행되는, 외관상 관련이 없어 보이는 운영에서 기존 랜섬웨어 제품군을 재사용하는 것을 계속 관찰하고 있습니다.

  • 2024년 RaaS에 대한 사법 조치 이후 LOCKBIT 랜섬웨어 사고가 크게 감소한 것을 확인했지만, 2025년에는 소수의 LOCKBIT.WARLOCK 사고를 관찰했습니다. WarLock DLS는 2025년 7월에 등장하여 그 이후 75명 이상의 피해자를 등록했습니다. LOCKBIT.WARLOCK은 기본적으로 원본 LOCKBIT 코드베이스를 크게 활용하지만, 다른 암호화 알고리즘을 사용하고 이전에 인라인 처리(inlined)되었던 작업들을 전용 함수(dedicated functions)로 리팩토링했습니다.

  • 관련 채팅 로그 및 CONTI 소스 코드 유출 이후 2022년 5월에 CONTI RaaS가 폐쇄되었음에도 불구하고, 2025년에 CONTI 랜섬웨어가 관련된 소수의 침입을 관찰했습니다. 예를 들어, Gunra 랜섬웨어 그룹과 관련된 2025년 사고에서 CONTI가 배포된 것을 확인했으며, 랜섬웨어 페이로드를 분석한 결과 난독화(obfuscation)에서 약간의 변형이 있었을 뿐 CONTI 소스 코드에 크게 기반하고 있음을 확인했습니다.

• INC Ransom, Sinobi, Lynx라는 세 가지 다른 갈취 브랜드가 운영에 INC 랜섬웨어를 활용하는 것을 관찰했습니다. INC 랜섬웨어 소스 코드는 2024년 5월 지하 포럼에 광고되었으나, Lynx 및 INC Ransom DLS 도메인은 공통된 위협 행위자에 의해 획득되었습니다.

• GTIG는 2025년 사고에서 ODDSIDE 랜섬웨어를 관찰했습니다. ODDSIDE는 자신을 DARKMATTER라고 부르는 PowerShell 기반 랜섬웨어입니다. 전혀 알려지지 않은 것은 아니지만, PowerShell 기반 랜섬웨어는 상당히 드뭅니다.

• 특히 한 사고에서는 위협 행위자들이 CLOP 랜섬웨어를 배포한 것을 관찰했습니다. 악성코드 리포지토리에 업로드된 CLOP 랜섬웨어 샘플을 간헐적으로 식별한 적은 있지만, CLOP 랜섬웨어 사고에 대응한 것은 2020년 이후 처음입니다. 최근 몇 년간 CL0P 데이터 유출 사이트와 관련된 위협 행위자들은 데이터를 암호화하기보다는 주로 순수 데이터 유출 갈취 작전(data-theft-extortion-only operations)에 집중해 왔습니다.

• 침입의 일부 사례에서는 랜섬웨어 페이로드를 확보할 수 없었습니다. 예를 들어, 랜섬웨어 페이로드가 메모리 내(in memory)에서 실행되었음을 시사하는 증거가 있는 소수의 TridentLocker 브랜드 랜섬웨어 사고를 관찰했습니다. 위협 행위자들이 보안 탐지를 우회하고 분석 및 복구 노력을 더 어렵게 만들 목적으로 인메모리(in-memory) 실행을 사용하여 랜섬웨어를 배포했을 가능성이 큽니다.

• 위협 행위자들은 갈취 작전에 합법적인 암호화 도구를 남용하기도 합니다. 2025년에는 위협 행위자들이 BitLocker를 사용하여 200대 이상의 원격 호스트를 암호화한 사고를 관찰했습니다.

데이터 유출

2025년에는 랜섬웨어 침입의 약 77%에서 확인되거나 의심되는 데이터 유출(data theft)이 관찰되었으며, 이는 2024년의 약 57%에서 눈에 띄게 증가한 수치입니다. 이러한 사고에서 데이터를 식별, 준비(staging), 유출하기 위해 가장 자주 관찰된 전략은 Rclone 및 MEGASync와 같은 합법적인 데이터 동기화 도구의 사용, 내장 도구나 WinRar 또는 7Zip의 포터블 버전을 사용한 파일 압축, 그리고 Filezilla나 Winscp와 같은 FTP 클라이언트의 활용이었습니다.

• 데이터가 탈취된 침입 동안, 위협 행위자들이 법무, 인사(HR), 회계, 사업 개발 데이터를 포함한 다양한 민감한 데이터 유형을 일상적으로 표적으로 삼는 것을 관찰했습니다.

  • 위협 행위자들이 이메일에 접근하고 브라우저를 통해 SharePoint 및 기타 Microsoft 365 환경에 접속하려 시도하는 등, 유출할 민감한 데이터를 수집하기 위해 시스템을 수동으로 정찰한 증거를 확인했습니다.

• 2025년에 위협 행위자들은 데이터를 유출하기 위해 Rclone, MEGASync, Megatools, restic, 그리고 가능성 있는 Cyberduck을 포함한 공개적으로 사용 가능한 도구와 유틸리티에 계속 의존했습니다.

  • 데이터 탈취가 확인되거나 의심되는 침입의 약 28%에서, 행위자가 제어하는 인프라로 데이터를 유출하기 위해 Rclone을 사용하는 것을 관찰했습니다.

  • 한 INC 랜섬웨어 사고에서 위협 행위자는 wget 및 curl 명령을 사용하여 NAS(Network-Attached Storage) 서버에 각각 Rclone과 INC.LINUX 랜섬웨어 페이로드를 다운로드했습니다. 이후 위협 행위자는 INC.LINUX 페이로드를 수동으로 실행하기 전에 서버에서 데이터를 유출하기 위해 Rclone을 실행했습니다.

  • 위협 행위자들은 데이터 탈취가 관찰되거나 의심되는 침입의 26%에서 합법적인 FTP/SFTP 클라이언트를 설치 및/또는 활용했습니다. 일반적으로 관찰된 소프트웨어에는 FileZilla, WinSCP, PuTTY Secure Copy가 포함되었습니다.

  • 데이터 유출에 사용된 것으로 확인되지는 않았지만, 위협 행위자들이 Total Commander, Xcopy, Gpg4win과 같이 탈취한 데이터의 정찰, 준비 및 내보내기를 지원하는 데 사용될 수 있는 다양한 유틸리티를 설치 및/또는 실행하는 것을 관찰했습니다.

• 위협 행위자들은 탈취한 데이터를 유출하기 위해 Azure, AWS, Backblaze, Cloudzy, Filemail, Google Drive, MEGA, OneDrive를 포함한 무수히 많은 합법적인 클라우드 서비스 및 인프라를 활용했습니다.

  • AGENDA 랜섬웨어로 이어진 한 UNC5471 침입에서 위협 행위자는 디렉터리 내 파일 보관(archiving)을 자동화하기 위해 WinRAR와 함께 배치(batch) 스크립트를 활용했습니다. 그런 다음 행위자는 Megatools와 SLEETSEND를 사용하여 MEGA 및 Cloudzy 클라우드 스토리지 서비스로 데이터를 유출했습니다.

  • 여러 위협 행위자가 탈취한 데이터를 자신들이 제어하는 OneDrive 계정으로 전송하는 것을 관찰했습니다. 한 UNC5496 침입 중에 위협 행위자는 Rclone이 일반적인 파일 확장자 유형 목록과 일치하는 모든 파일을 위협 행위자가 제어하는 OneDrive 계정으로 전송하도록 명령을 실행했습니다.

  • 다수의 사고에서 위협 행위자들이 탈취한 파일을 공격자가 제어하는 Azure 스토리지로 전송하기 위해 AzCopy를 활용하는 것을 관찰했습니다.

• 한 UNC6098 침입 중에 위협 행위자는 SQL 데이터베이스를 내보내기 위해 SQL Server 가져오기 및 내보내기 마법사(SQL Server Import and Export Wizard)를 활용했습니다.

랜섬웨어 배포 

우리는 2025년 내내 발생한 침입에서 다양하고 광범위한 랜섬웨어 배포 기술이 활용된 것을 관찰했습니다. 위협 행위자들은 배치 스크립트, 예약된 작업, 그룹 정책 개체(GPO), 레지스트리 키, PowerShell 스크립트 사용을 포함하여 수동 및 자동 배포 기술을 모두 사용했습니다. 특히 사고의 거의 20%에서 위협 행위자들이 가상화 인프라를 표적으로 삼았으며, 여러 사고에서 운영자들이 ESXi 호스트에 대한 랜섬웨어 배포의 일부를 자동화한 것을 관찰했는데, 이는 가상 시스템을 표적으로 삼는 기술이 성숙해지고 있음을 시사합니다.

• 위협 행위자들은 랜섬웨어를 배포하기 위해 종종 자동화된 메커니즘에 의존했습니다. 많은 경우 이들은 랜섬웨어 실행을 용이하게 하기 위해 기본 Windows 메커니즘에 의존했습니다.

  • 여러 위협 클러스터가 피해자 환경에서 랜섬웨어 페이로드 실행을 용이하게 하기 위해 배치 스크립트를 활용했습니다. 한 LOCKBIT.WARLOCK 침입에서 위협 행위자는 랜섬웨어 페이로드를 실행할 파일과 함께 도메인 컨트롤러에 NetExec을 준비(stage)했습니다. 그런 다음 위협 행위자는 NetExec을 사용하여 SMB를 통해 여러 호스트에 배치 파일을 복사하고 이를 실행하여 랜섬웨어 페이로드를 실행했습니다.

  • 별도의 LOCKBIT.WARLOCK 침입에서 위협 행위자는 예약된 작업을 통해 실행하기 전에 SMB를 통해 여러 호스트에 랜섬웨어 페이로드를 준비했습니다.

  • NINTHBEE 랜섬웨어 사고 중에 위협 행위자는 Windows Defender를 비활성화하고 이후에 랜섬웨어 페이로드를 실행하는 악성 예약 작업을 포함하도록 GPO를 수정했습니다. 동일한 침입에서 위협 행위자는 PsExec을 통해 여러 원격 호스트에서 NINTHBEE 페이로드를 실행하려고 시도하기도 했습니다.

  • DOLLARLOCKER가 관련된 것으로 보이는 사고에서 위협 행위자는 랜섬웨어 페이로드를 실행하는 명령을 실행하기 위해 Windows 서비스(service)를 생성했습니다.

  • 여러 위협 클러스터가 랜섬웨어 배포 목표를 완수하기 위해 Windows 레지스트리를 활용했습니다. UNC5471 침입 중에 위협 행위자는 여러 서버에서 지속적으로 AGENDA 랜섬웨어를 실행하기 위해 레지스트리 Run 키를 생성했습니다. 한 INTERLOCK 랜섬웨어 침입에서는 암호화 이후 위협 행위자가 시스템 시작 시 랜섬웨어 감염을 알리는 배너가 표시되도록 LegalNoticeCaption 및 LegalNoticeText 레지스트리 값을 수정했습니다.

• 랜섬웨어 페이로드를 준비하기 위해 SMB를 사용하는 것 외에도, 위협 행위자들이 피해자 네트워크 전반에 걸쳐 보다 광범위한 랜섬웨어 배포를 촉진하기 위해 SMB를 활용하는 것도 관찰했습니다. 한 사고에서 행위자들은 Invoke-ShareFinder PowerShell cmdlet을 통해 네트워크 공유를 식별하고, 이 목록을 REDBIKE의 타겟 목록으로 제공했을 가능성이 높습니다. 결과적으로 SMB를 통해 500개 이상의 엔드포인트에서 암호화가 시도되었습니다.

• 관찰된 침입의 소수 사례에서 위협 행위자들은 피해자 환경 전반에 걸쳐 BitLocker 암호화 배포를 자동화하기 위해 PowerShell을 활용합니다. 한 침입 중에 위협 행위자는 여러 호스트에서 BitLocker를 설치, 구성 및 비밀번호를 할당하기 위해 PowerShell 스크립트를 사용했습니다. 그런 다음 행위자는 이러한 호스트의 여러 드라이브에서 암호화를 활성화하고 시스템을 잠금(locked) 상태로 강제하기 위해 시스템 재시작을 예약했습니다. 행위자는 또한 BitLocker 부팅 전 복구 화면에 랜섬 노트를 표시하도록 레지스트리를 수정했습니다.

• 2025년에 우리가 대응한 랜섬웨어 침입의 약 43%에서 위협 행위자가 가상화 인프라를 표적으로 삼는 것이 관찰되었으며, 이는 2024년의 29%에서 증가한 수치입니다. 가상 시스템에 대한 랜섬웨어 배포는 종종 수동으로 수행되지만, 2025년에는 위협 행위자가 랜섬웨어 배포 단계의 일부를 자동화하려고 시도한 사고를 최소 몇 건 이상 관찰했습니다.

  • UNC5495 침입 중에 위협 행위자는 ESXi 호스트의 자격 증명을 허용하는 배치 스크립트를 활용하여 BABUK.MARIO의 배포를 자동화했습니다. 이 배치 스크립트는 랜섬웨어 페이로드를 호스트에 복사하기 위해 준비된 KiTTY 사본을 사용한 다음, SSH를 통해 연결하고 각 호스트에서 페이로드를 실행하는 명령을 실행했습니다. 별도의 침입에서 위협 행위자는 피해자의 vCenter 서버에 인증하고, 새로운 루트(root) 비밀번호를 설정하며, ESXi 호스트에서 SSH를 활성화하기 위해 PowerShell 스크립트를 활용했습니다. 동일한 스크립트는 이후 랜섬웨어 페이로드를 실행하기 전에 RIFTEAR 랜섬웨어 페이로드를 호스트에 복사하고, 백업을 삭제하며, 가상 머신(VM)을 종료하고, 보안 정책을 비활성화하는 데 사용되었습니다.

• 위협 행위자들은 ESXi 호스트에 랜섬웨어를 배포하기 전에 사용자 지정 바이너리의 실행을 허용하기 위해 호스트의 ExecInstalledOnly 설정을 일반적으로 비활성화했습니다(그림 13). 한 침입 중에 위협 행위자는 vCenter 서버에 액세스하여 호스트가 잠금(lockdown) 모드일 때 권한을 유지할 수 있는 사용자를 제어하는 '잠금 모드 예외 사용자(Lockdown Mode Exception Users)' 설정도 수정했습니다.

• 위협 행위자들은 복호화 전에 랜섬웨어 페이로드의 영향을 거의 확실하게 극대화하기 위해 다수의 침입에 걸쳐 가상 머신을 중지시키고 파일의 잠금을 해제하는(unlock) 조치를 취했습니다.

  • 여러 사례에서 위협 행위자들은 랜섬웨어 페이로드를 실행하기 전에 다른 프로그램에서 사용 중인 파일의 잠금을 해제하기 위해 합법적인 제거 유틸리티인 IOBIT를 사용하거나 사용하려고 시도했습니다.

  • 또한 여러 행위자가 암호화 전에 가상 머신을 종료하고 백업 및 스냅샷을 삭제하는 것도 관찰했습니다. 최소 한 건의 침입에서 행위자는 PowerShell 스크립트를 활용하여 가상 머신의 전원을 끄는 프로세스를 자동화했습니다.

  • 한 침입 중에 위협 행위자는 피해자의 Commvault 서버에 액세스하여 복구를 방해하기 위해 암호화 전에 vCenter 백업 볼륨을 삭제했습니다.

• TridentLocker 브랜드 랜섬웨어 사고 중에 위협 행위자가 WAVECALL 지속성에 사용된 것과 동일한 CrushFTP 미리 보기 하이재킹(preview hijacking) 기법을 활용하여 WAVECALL C2 서버에서 랜섬웨어 페이로드를 다운로드하고 실행했다고 중간 수준의 신뢰도(moderate confidence)로 평가합니다.

esxcli system settings advanced set -o /User/execInstalledOnly -i 0

그림 13: ESXi 호스트에서 ExecInstalledOnly 설정을 비활성화하는 명령

탐지 우회, 분석 방해 및 복구 방해 전술

랜섬웨어 공격자들은 침입 중 탐지를 방지할 뿐만 아니라 암호화 후 피해자의 복구 어려움을 가중시키기 위해 운영 전반에 걸쳐 일관되게 탐지 우회(anti-detection), 분석 방해(anti-analysis) 및 복구 방해(anti-recovery) 전술에 관여합니다. 이러한 전술은 종종 위협 행위자들에 의해 수동으로 수행되지만, 수많은 랜섬웨어 패밀리들이 분석을 방해하고 암호화 전에 백업을 삭제하는 기본 기능을 갖추고 있습니다.

• 위협 행위자들은 악성 페이로드의 탐지를 피하거나 실행 차단을 막기 위해 랜섬웨어 침입 중에 지속적으로 보안 통제(security controls)를 비활성화하고 변조(tampered with)했습니다. 가장 흔하게는, 위협 행위자들이 Windows 레지스트리를 수정하여 Windows Defender를 비활성화하는 것을 관찰했습니다. 다른 일부 경우에는 위협 행위자들이 자신의 멀웨어 및 랜섬웨어 페이로드에 대한 예외(exclusions)를 추가하기 위해 Set-MpPreference PowerShell cmdlet을 통해 Defender 구성을 수정했습니다. 또한 위협 행위자들이 다양한 보안 통제를 변조하기 위해 GPO, 예약된 작업, PowerShell 스크립트를 활용하는 것도 관찰되었습니다.

  • REDBIKE 사고에서 위협 행위자들은 DisableRealtimeMonitoring, DisableScanOnRealtimeEnable, DisableOnAccessProtection 등 Windows Defender 레지스트리 키와 관련된 다양한 값을 수정하는 명령을 실행하여 수많은 Windows Defender 기능을 비활성화하는 데 PowerShell을 사용했습니다(그림 14).

  • WHITERABBIT과 관련된 침입에서 위협 행위자들은 Add-MpPreference cmdlet을 사용하여 Defender 예외 목록(Exclusion list)을 수정하는 Base64로 인코딩된 PowerShell 명령을 실행했습니다. 여기에는 랜섬웨어 바이너리, ".cmd", ".bat", ".exe"와 같은 다양한 파일 확장자 및 User Data 폴더가 포함되었습니다.

  • NINTHBEE가 관련된 사고에서 위협 행위자들은 다운로드한 파일 및 이메일 첨부 파일에 대한 Microsoft Defender의 실시간 검사를 비활성화하는 명령을 매일 실행하도록 예약된 작업(scheduled task)을 등록했습니다.

• 랜섬웨어 공격자들은 자신의 활동 증거를 제거하기 위해 종종 아티팩트(artifacts)를 삭제하고 이벤트 로그를 지웠습니다. 이러한 기록에는 명령 실행, 방화벽 트래픽 및 탈취된 자격 증명에 대한 정보가 포함되었습니다. 여러 사례에서 로그 삭제를 용이하게 하기 위해 wevtutil 유틸리티가 사용되었습니다.

  • FOULFOG.LINUX 사고에서 위협 행위자들은 랜섬웨어 바이너리 이름을 덜 의심스러운 "filerw"로 변경하고, 시스템의 명령 기록을 삭제했으며, 삭제된 파일을 대체하기 위해 빈 파일을 생성했습니다.

• 일부 경우, 위협 행위자들은 합법적인 소프트웨어나 시스템 리소스로 위장하기 위해 운영에 무해한 이름(benign names)을 사용했습니다. 예를 들어, RIFTTEAR 사고에서 위협 행위자들은 엔드포인트 탐지 및 대응(EDR) 프로세스를 종료할 의도로 보이는 악성 명령을 실행하기 위해 "\Microsoft\Update"라는 이름의 예약된 작업을 등록했습니다. CONTI가 관련된 별도의 사례에서, 랜섬웨어 바이너리의 파일 이름은 네이티브 동기화 명령줄 유틸리티로 보이기 위해 "enc_lin"에서 "rsync"로 변경되었습니다.

• 랜섬웨어 공격자들은 복구 옵션을 방해 및/또는 제한하기 위해 종종 백업을 비활성화하거나 삭제했습니다. 일부 경우, 위협 행위자들은 PowerShell 스크립트를 통해 백업 서버를 중지시키고/시키거나 볼륨 섀도 복사본(VSS)을 삭제했습니다.

  • 특히 RANSOMHUB 사고에서 위협 행위자들은 Cisco Integrated Management Controller (CIMC)에 대한 액세스 권한을 사용하여 9노드 Cohesity 클러스터 전반에 걸쳐 가상 미디어(Virtual Media)를 통해 Debian Linux ISO 이미지를 매핑했습니다. 부팅 우선순위를 수정하고 하드웨어를 재부팅(power-cycling)함으로써 노드들은 외부 Linux 환경으로 부팅되었고, 이는 Cohesity 운영 체제(OS)를 덮어써 백업 데이터에 액세스할 수 없게 만들었습니다.

• 소수의 침입에서 위협 행위자들은 보안 소프트웨어 솔루션과 관련된 프로세스 및 서비스를 종료하기 위해 도구(tooling)를 사용했으며, 특히 서명된 커널 모드 드라이버(signed kernel mode drivers)를 악용하는 도구들이 사용되었습니다. 예로는 오픈 소스인 TERMINATOR 및 WATCHDOGKILLER뿐만 아니라, 취약한 커널 모드 드라이버를 디코딩하고 설치하는 유틸리티인 WARCLAW와 같은 비공개 도구도 포함됩니다.

cmd.exe /c reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableRealtimeMonitoring" /t REG_DWORD /d "1" /f 

cmd.exe /c reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableScanOnRealtimeEnable" /t REG_DWORD /d "1" /f 

cmd.exe /c reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableOnAccessProtection" /t REG_DWORD /d "1" /f 

cmd.exe /c reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableIOAVProtection" /t REG_DWORD /d "1" /f 

cmd.exe /c reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Reporting" /v "DisableEnhancedNotifications" /t REG_DWORD /d "1" /f 

cmd.exe /c reg add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "DisableBlockAtFirstSeen" /t REG_DWORD /d "1" /f 

cmd.exe /c reg add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SubmitSamplesConsent" /t REG_DWORD /d "0" /f

cmd.exe /c reg add "HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine" /v "MpEnablePus" /t REG_DWORD /d "0" /f

cmd.exe /c reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1"

cmd.exe /c reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiVirus" /t REG_DWORD /d "1" /f

cmd.exe /c reg add "HKLM\Software\Policies\Microsoft\Windows Defender\SpyNet" /v "SpynetReporting" /t REG_DWORD /d "0" /f

cmd.exe /c reg add "HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection" /v "DisableBehaviorMonitoring" /t REG_DWORD /d "1" /f

그림 14: Windows Defender 레지스트리 키 수정

도구 사용 현황

2025년 한 해 동안 랜섬웨어 침입의 다양한 단계에서 공개 도구와 합법적인 소프트웨어에 크게 의존하는 양상이 지속되었습니다. 합법적인 소프트웨어는 여전히 인기가 높지만, 원격 모니터링 및 관리(RMM) 도구와 침투 후 C2 프레임워크의 사용은 약간 감소했습니다. 특히 WinRAR와 Rclone은 전체 사고의 거의 4분의 1에서 관찰되었는데, 이는 데이터 준비(staging) 및 유출(exfiltration)에 주로 사용되는 도구 특성상 데이터 유출 관련 사고의 증가와 맞물린 결과로 보입니다.

• 위협 행위자들은 2025년 랜섬웨어 사고의 약 15%에서 침투 후 C2 프레임워크를 사용했으며, 이는 2024년 약 20%에서 감소한 수치입니다. 이러한 프레임워크 사용의 감소는 주로 Cobalt Strike BEACON의 사용이 지속적으로 줄어들었기 때문입니다.

  • Cobalt Strike BEACON은 2025년 랜섬웨어 사고의 단 2%에서만 배포되어 수년간의 하락세를 이어갔습니다. (2021년 약 60% → 2022년 약 38% → 2023년 20% → 2024년 11%) 이러한 감소는 일부 공격자들이 AdaptixC2와 같은 새로운 프레임워크를 탐색하기 때문인 것으로 분석됩니다.

  • 침입의 약 8%에서 AdaptixC2 (ADAPTAGENT) 침투 후 프레임워크가 확인되었습니다. AdaptixC2는 모의 침투 테스트용으로 개발된 오픈 소스 프레임워크이지만, 오랫동안 Cobalt Strike가 그러했듯이 위협 행위자들은 종종 이러한 테스트 도구를 자신들의 작전을 원활하게 하기 위해 악용합니다.

  • 그보다 낮은 빈도로 MYTHICAGENT, METASPLOIT, HAVOC, EXPLORATIONC2와 관련된 침투 프레임워크도 관찰되었습니다.

• 지난해 확인된 추세와 마찬가지로, 위협 행위자들은 원격 관리 도구(RMM)에 대한 의존도가 약간 낮아진 것으로 보입니다. 2025년 사고의 약 24%에서 최소 하나 이상의 RMM이 포함되었으며, 이는 2024년 28%, 2023년 40%와 비교됩니다.

  • 2025년 랜섬웨어 사고에서 10개의 고유한 원격 관리 도구가 관찰되었으며, 이는 2024년 9개와 비슷하지만 2023년 13개보다는 전반적으로 감소한 수치입니다.

  • 동일한 침입 사례 내에서 여러 개의 서로 다른 RMM을 활용하는 경우도 줄어들었습니다. 2025년에는 약 5%의 사고에서만 다중 RMM이 관찰되었으며, 2024년에는 8%, 2023년에는 16%였습니다.

  • 최근 몇 년과 마찬가지로 AnyDesk는 2025년 랜섬웨어 사고에서 가장 흔하게 배포된 RMM으로 유지되었으나, 전체 사용률은 2023년 약 31%, 2024년 16%에서 2025년 10%로 감소했습니다.

• 터널러(tunneler) 사용은 2024년과 비교했을 때 상당히 일관되게 유지되었으나, 특정 터널러의 사용 비중에는 소폭의 변화가 있었습니다. 예를 들어 CLOUDFLARED는 2024년 약 4%에서 2025년 8%의 사고로 증가했습니다.

  • SYSTEMBC의 사용은 미미하게 감소했습니다. (2023년 약 14% → 2024년 약 7% 초반 → 2025년 약 6% 초반) 특히, 2024년 5월 'Operation Endgame'을 통해 SYSTEMBC 인프라가 무력화되었습니다. 해당 멀웨어가 여전히 포럼에서 판매되고는 있으나, 사법 기관의 제재가 일부 위협 행위자들로 하여금 해당 멀웨어 사용을 중단하게 했을 가능성이 있습니다.

• 2025년 내내 위협 행위자들은 Advanced IP Scanner 및 SoftPerfect Network Scanner와 같은 일반적인 공개 네트워크 스캐닝 도구를 침입의 약 50%에서 계속 활용했으며, 이는 2024년 수치와 일치합니다.

• 2025년에는 데이터 유출을 돕기 위해 위협 행위자들이 자주 사용하는 WinRAR 및 Rclone과 같은 공개 도구의 사용이 증가했습니다. 이는 2024년에서 2025년 사이에 확인되거나 의심되는 데이터 유출 사고가 전반적으로 증가한 것과 맥락을 같이 합니다. WinRAR와 Rclone은 각각 사고의 약 23%에서 관찰되었습니다. (2024년의 경우 Rclone 약 16%, WinRAR 약 8%)

조치 및 보안 강화 

랜섬웨어 위협 대응을 돕기 위한 권장 사항은 당사의 백서인 랜섬웨어 보호 및 억제 전략: 엔드포인트 보호, 보안 강화 및 억제를 위한 실용 지침에 자세히 수록되어 있습니다.

전망 및 시사점 

행위자 간의 갈등과 사법 기관의 제재로 인한 지속적인 혼란에도 불구하고, 랜섬웨어 공격자들은 여전히 강력한 동기를 가지고 있으며 갈취 생태계는 계속해서 복원력을 입증하고 있습니다. 그러나 여러 지표에 따르면 이러한 운영의 전반적인 수익성은 감소하고 있으며, 적어도 일부 위협 행위자들은 대기업에서 벗어나 보안 체계가 덜 성숙한 소규모 조직을 대상으로 한 다량의 공격으로 타겟팅 전략을 전환하고 있습니다. 이는 피해자의 보안 태세 개선으로 인한 배포 성공 난이도 상승, 랜섬 지불 거부 증가, 복구 능력 향상 때문인 것으로 보입니다.

향후 몇 년 동안 보고 의무화 및 지불 금지를 포함한 규제 변화는 기업들이 랜섬을 지불하지 않도록 더욱 설득하는 계기가 될 것입니다. 랜섬웨어는 전 세계적으로 가장 지배적인 위협 중 하나로 남을 것으로 예상되지만, 수익 감소로 인해 일부 위협 행위자들은 다른 수익 창출 방법을 찾게 될 것입니다. 이는 데이터 유출 익스토션 운영의 증가, 더 공격적인 갈취 전술의 사용, 또는 침해된 인프라를 사용하여 피싱 메시지를 보내는 것과 같은 2차 수익 창출 메커니즘을 위해 피해자 환경의 액세스 권한을 기회주의적으로 활용하는 방식으로 나타날 수 있습니다.

탐지 

YARA 규칙

AGENDA

rule M_APTFIN_Ransom_AGENDA_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"

	strings:
		$conf1 = "public_rsa_pem" fullword
		$conf2 = "private_rsa_pem" fullword
		$conf3 = "directory_black_list" fullword
		$conf4 = "file_black_list" fullword
		$conf5 = "file_pattern_black_list" fullword
		$conf6 = "process_black_list" fullword
		$conf7 = "win_services_black_list" fullword
		$conf8 = "company_id" fullword
		$conf9 = "note" fullword
		$load_const1 = { 21 B7 F6 F7 }
		$load_const2 = { F6 36 A4 69 }
		$load_s1 = "run_portable_executable" fullword
		$load_s2 = "MemoryLoadLibrary" fullword
		$load_s3 = "_ZN9morph_poc4main"
		$note1 = "Extension: "
		$note2 = "Domain: "
		$note3 = "login: "
		$note4 = "password: "
		$note5 = "Enter credentials-- Credentials"
		$note6 = "-- Qilin"
		$note7 = "-- Recovery"
		$note8 = "www.torproject.org"
		$note9 = ".onion"
		$note10 = "Employees personal data, CVs, DL , SSN."
		$note11 = "%s/%s_RECOVER.txt"
	condition:
		uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and (7 of ($conf*) or 7 of ($note*) or all of ($load*))
}

AGENDA.RUST

rule M_Hunting_Win_Ransomware_AGENDA_RUST_2_MBeta {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"

	strings:
		$rust = "/rust/"
		$conf1 = "\"public_rsa_pem\":"
		$conf2 = "\"private_rsa_pem\":"
		$conf3 = "\"directory_black_list\":"
		$conf4 = "\"file_black_list\":"
		$conf5 = "\"file_pattern_black_list\":"
		$conf6 = "\"process_black_list\":"
		$conf7 = "\"win_services_black_list\":"
		$conf8 = "\"company_id\":"
		$conf9 = "\"n\":"
		$conf10 = "\"p\":"
		$conf11 = "\"fast\":"
		$conf12 = "\"skip\":"
		$conf13 = "\"step\":"
		$conf14 = "\"accounts\":"
		$conf15 = "\"note\":"
	condition:
		uint16(0) == 0x5a4d and uint32(uint32(0x3C)) == 0x00004550 and filesize < 5MB and (($rust and 8 of ($conf*)) or (13 of ($conf*)))
}

REDBIKE

rule M_Ransom_REDBIKE_2 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"

	strings:
		$a1 = ".akira"
		$a2 = "akira_readme.txt"
		$a3 = "akiralkzxzq2dsrzsrvbr2xgbbu2wgsmxryd4csgfameg52n7efvr2id"
		$s1 = "--encryption_percent" ascii wide nocase
		$s2 = "--encryption_path" ascii wide nocase
		$s3 = "--share_file" ascii wide nocase
	condition:
		((all of ($s*)) and (any of ($a*))) and (uint16(0) == 0x5A4D) and filesize > 500KB and filesize < 2MB
}

REDBIKE.LINUX

rule M_APTFIN_Ransom_REDBIKE_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"

	strings:
		$a = "akira_readme.txt"
		$b = "save your TIME, MONEY, EFFORTS"
		$c = "akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion"
		$d = "--encryption_percent"
		$e = "--encryption_path"
		$f = "--share_file"
	condition:
		all of them and (uint32be(0) == 0x7F454C46)
}

CLOP

rule M_Hunting_CLOP_rol7XorHash32_ConfigHashes_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"

	strings:
		$hex_asm_literal_a = { 92 F7 53 7A }
		$hex_asm_literal_b = { 43 29 79 71 }
		$hex_asm_literal_c = { 2A 81 C4 E2 }
		$hex_asm_literal_d = { 2E F4 FA 7E }
		$hex_asm_literal_e = { 31 E5 7F 91 }
		$hex_asm_literal_f = { 16 24 45 D6 }
		$hex_asm_literal_g = { 56 22 93 EA }
	condition:
		all of them
}

CLOP.LINUX

rule M_Ransom_CLOP_3 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$str_jobmessage_a = "Successfully started daemon-name"
		$str_jobmessage_b = "Could not change working directory to /"
		$str_jobmessage_c = "Could not generate session ID for child process"
		$asm_code_fileordirectory = { 25 00 F0 00 00 3D 00 40 00 00 75 }
		$asm_functioncall_open64_readfile = { 80 01 00 00 C7 44 ( 2? | 6? | A? | E? ) ?? 02 00 00 00 }
		$asm_functioncall_open64_writebytes = { B4 01 00 00 C7 44 ( 2? | 6? | A? | E? ) ?? 42 00 00 00 }
		$asm_encryption_filebuffersize = { 00 E1 F5 05 76 ?? C7 45 ?? 00 E1 F5 05 }
		$asm_encryption_generatekey = { 1F 89 ( C? | D? | E? | F? ) C1 ( C? | D? | E? | F? ) 18 8D ( 0? | 1? ) ( 0? | 1? ) 25 FF 00 [0-2] 29 ( C? | D? | E? | F? ) 83 ( C? | D? | E? | F? ) 01 C9 }
	condition:
		uint32(0) == 0x464C457F and all of ($str_*) or (#asm_code_fileordirectory == 2 and #asm_functioncall_open64_writebytes == 2 and ($asm_encryption_generatekey and $asm_functioncall_open64_readfile and $asm_encryption_filebuffersize))
}

PLAYCRYPT

rule M_Ransomware_PLAYCRYPT_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
		date_created = "2022-12-21"
		date_modified = "2022-12-21"
		rev = "1"
	strings:
		$c1 = { 8A CB 0F B6 D0 8B F2 8B FA D3 EE 8D 4B 01 D3 EF 83 E6 01 83 E7 01 }
		$c2 = { 8D 45 F0 C7 85 D0 FD FF FF 00 00 00 00 50 83 EC 08 }
		$c3 = { 8B 14 0A 8B 4C 32 20 03 D6 89 55 E0 03 CE }
		$c4 = { 8D 8D 80 ?? FF FF E8 C8 ?? FF FF 85 C0 75 61 83 BD [2] FF FF 05 76 58 }
		$c5 = { FF 76 ?? C6 45 EE 00 E8 [2] 00 00 8B F0 8B CF 33 C0 85 F6 0F 48 F0 E8 }
		$c6 = { FF D0 8B F8 83 FF 05 0F [2] 01 00 00 83 FF 06 0F [2] 01 00 00 8B 0E 3B 4E 04 0F [2] 01 00 00 83 FF 04 74 6D 83 FF 01 }
		$s1 = "OpaqueKeyBlob" wide
		$s2 = "AppPolicyGetProcessTerminationMethod"
	condition:
		uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and filesize > 100KB and filesize < 200KB and ((2 of ($c*) and all of ($s*)) or (4 of ($c*)))
}

PLAYCRYPT.LINUX

rule G_Ransom_PLAYCRYPT_LINUX_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$s1 = "First step is done."
		$s2 = "/dev/urandom"
		$s3 = "esxcli storage filesystem list > storage"
		$s4 = "hosts in exclusion:"
		$s5 = "encrypt: "
		$s6 = ".PLAY" fullword
	condition:
		uint32(0) == 0x464C457F and all of them
}

SAFEPAY

import "pe"

rule G_Ransom_SAFEPAY_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$hex_asm_snippet = { 10 27 00 00 [0-4] 10 27 00 00 }
	condition:
		pe.imphash() == "ff67c703589f775db9aed5a03e4489b0" and ($hex_asm_snippet)
}

rule G_Ransom_SAFEPAY_2 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$code_string_decode = { 8A C2 32 C1 32 44 0D ?? 34 ?? 88 44 0D ?? 41 83 F9 04 [4-64] B? 4D 5A 00 00 }
		$code_hardware_aes_check = { 0F A2 8B F3 5B 89 07 89 77 ?? 89 4F ?? 89 57 [0-12] ( 00 00 00 02 | C1 ?? 19 ) }
		$code_encrypt_file = { 14 00 10 00 [2-24] 14 00 10 00 [2-32] 00 10 00 5? [0-8] FF ( 15 | D? ) }
		$enc_str1 = { C7 45 ?? 67 4B 3D 49 C7 45 ?? 2F 4F 2F 4D }
		$enc_str2 = { C7 45 ?? 10 3C 51 3E C7 45 ?? 5C 38 4F 3A C7 45 ?? 42 34 58 36 C7 45 ?? 43 30 58 32 66 C7 45 ?? 2D 2C }
		$enc_str3 = { C7 45 ?? A3 8F FF 8D C7 45 ?? EF 8B E4 89 C7 45 ?? E0 87 E0 85 C7 45 ?? E7 83 EC 81 C7 45 ?? FB 9F E8 9D C7 45 ?? FF 9B 98 99 }
		$enc_str4 = { C7 45 ?? 44 40 51 47 C7 45 ?? 51 49 10 10 C7 45 ?? 03 48 43 42 C6 45 ?? 29 }
		$enc_str5 = { C7 45 ?? 77 77 73 74 C7 45 ?? 75 6D 64 70 C7 45 ?? 23 68 63 62 C6 45 ?? 09 }
	condition:
		uint16(0) == 0x5a4d and (all of ($code*) or (any of ($code*) and any of ($enc*)) or (2 of ($enc*)))
}

INC

rule M_Ransom_INC_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$s1 = "[*] Count of arguments: %d" wide
		$s2 = "[-] Failed" wide
		$s3 = "[+] Start" wide
		$s4 = "INC-README" wide
		$s5 = "--debug" wide
		$s6 = "RECYCLE" wide
	condition:
		all of them and (uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550)
}

INC (Lynx Branded)

rule M_Ransom_INC_2 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$s1 = "[+] Proccess %s with PID: %d was killed succesffully" wide
		$s2 = "[*] Sending note to printer:" wide
		$s3 = "[+] Recycling bin..." wide
		$s4 = "[*] Starting full encryption in 5s" wide
		$s5 = "[+] Successfully decoded readme!" wide
		$s6 = "[-] Failed" wide
		$lynx = "lynx" ascii wide nocase
	condition:
		$lynx and 4 of ($s*) and (uint16(0) == 0x5A4D) and filesize < 300KB and filesize > 50KB
}

INC (Sinobi Branded)

rule G_Ransom_INC_3 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$s1 = "[+] Proccess %s with PID: %d was killed succesffully" wide
		$s2 = "[*] Sending note to printer:" wide
		$s3 = "[+] Recycling bin..." wide
		$s4 = "[*] Starting full encryption in 5s" wide
		$s5 = "[+] Successfully decoded readme!" wide
		$s6 = "[-] Failed" wide
		$sin = "sinobi" ascii wide nocase
	condition:
		$sin and 4 of ($s*) and (uint16(0) == 0x5A4D) and filesize < 400KB and filesize > 50KB
}

INC.LINUX

rule M_Ransom_INC_2 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$s1 = "[*] Count of arguments: %d"
		$s2 = "[-] Failed"
		$s3 = "[+] Start"
		$s4 = "INC-README"
		$s5 = "--debug"
		$s6 = "vmsvc"
	condition:
		all of them and uint32(0) == 0x464c457f
}

RANSOMHUB

rule M_Ransom_RANSOMHUB_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$str1 = "json:\"settings\""
		$str2 = "json:\"extension\""
		$str3 = "json:\"net_spread\""
		$str4 = "json:\"local_disks\""
		$str5 = "json:\"running_one\""
		$str6 = "json:\"self_delete\""
		$str7 = "json:\"white_files\""
		$str8 = "json:\"white_hosts\""
		$str9 = "json:\"credentials\""
		$str10 = "json:\"kill_services\""
		$str11 = "json:\"set_wallpaper\""
		$str12 = "json:\"white_folders\""
		$str13 = "json:\"note_file_name\""
		$str14 = "json:\"note_full_text\""
		$str15 = "json:\"kill_processes\""
		$str16 = "json:\"network_shares\""
		$str17 = "json:\"note_short_text\""
		$str18 = "json:\"master_public_key\""
	condition:
		14 of them
}

FURYSTORM

rule G_Ransom_FURYSTORM_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$s1 = "Whitelist VM id"
		$s2 = "gwfn6l3bk45o2zecvi7xtyqrpsudmahj"
		$s3 = "Dry-run"
		$s4 = "-paths"
		$s5 = "-vmsvc"
		$s6 = "Note: motd=%d login=%d clean=%d"
		$s7 = "Cryptor args"
		$s8 = "VMX found"
		$s9 = "Keys: %016l"
		$s10 = "vim-cmd"
		$s11 = "Dropping readme"
		$s12 = "Encryption params"
	condition:
		uint32(0) == 0x464c457f and filesize > 50KB and filesize < 700KB and 6 of them
}

rule G_Ransom_FURYSTORM_2 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$s1 = "Failed decrypt file:"
		$s2 = "Decryptor args:"
		$s3 = "Private key loaded"
		$s4 = "Keys: %016l"
		$s5 = "Dry-run"
		$s6 = "Encryption params"
		$s7 = "Whitelist paths"
		$s8 = "Note: motd=%d"
	condition:
		uint32(0) == 0x464c457f and filesize > 50KB and filesize < 300KB and 6 of them
}

FIREFLAME

rule M_Autopatt_Ransom_FIREFLAME_1 {
	meta:
		author = "Google Threat Intelligence Group (GTIG)"
	strings:
		$p00_0 = { 8B CE 8D 5F ?? 8A 01 8D 49 ?? 0F B6 C0 83 E8 ?? 8D 04 40 C1 E0 ?? 99 }
		$p00_1 = { 55 8B EC FF 75 ?? E8 [4] 59 8B 4D ?? 89 01 F7 D8 1B C0 }
	condition:
		uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and (($p00_0 in (0 .. 380000) and $p00_1 in (260000 .. 280000)))
}

감사의 글 

이번 분석은 디마 렌즈(Dima Lenz), 채스틴 알타레스(Chastine Altares), 아나 포먼(Ana Foreman), 그리고 Advanced Practices, Mandiant Consulting 및 FLARE 팀의 도움이 없었다면 불가능했을 것입니다.