2025년 2분기, 랜섬웨어 총58,575건

2025년 2분기,  총58,575건 랜섬웨어 공격이 탐지됐다. 일 평균 637건의 랜섬웨어 공격이 탐지된 셈이다.

2025년 2분기 주요 랜섬웨어 동향은 1) 법 집행 기관과 사법 당국의 랜섬웨어 소탕작전 
2) 랜섬허브(RansomHub)인프라 중단과 드래곤 포스(DragonForce) 랜섬웨어 조직의 급부상 3) 2025년 2분기 새로 등장한 랜섬웨어 4) 랜섬웨어 공격 방식의 진화로 압축된다.  

국제 공조에 의한 랜섬웨어 소탕작전은 2024년 하반기부터 본격화됐다. 2024년 5월, 유럽과 북미 사법당국은 1차 ‘오퍼레이션 엔드게임(Operation Endgame)’을 통해 아이스드 ID(IcedID), 스모크로더(Smokeloader), 피카봇(Pikabot), 붐벨비(Bumblebee), 트릭봇(Trickbot), 시스템BC(SystemBC) 등 드로퍼 악성코드 서버 100개를 압수하고 도메인 1300개를 무력화했다.

2025년 5월 19~22일, 유로폴(Europol)과 유로저스트(Eurojust)주도 하에 ‘오퍼레이션 엔드게임 2.0’이 진행됐다. 이는 2024년 5월 진행됐던 오퍼레이션 엔드 게임의 후속 조치다. 다나봇(DanaBot), 큐악봇(Qakbot), 트릭봇, 붐벨비, 하이잭로더(HijackLoader), 랙트로댁터스(Lactrodectus), 웜쿠키(WarmCookie) 등 다시 등장한 새로운 악성코드 변종과 그룹들을 대상으로 300대 이상 서버 압수, 650개 이상 도메인을 무력화 했다.

특히 다나봇은 이번 작전으로 인해 인프라에 큰 타격을 입었다. 정상화에 상당한 시간이 소요될 것으로 예상된다.

국제 공조로 이뤄지는 랜섬웨어 소탕작전은 랜섬웨어 조직의 핵심 인프라를 직접 무력화 시키는 방향으로 변화하고 있다.  

랜섬허브 인프라가 2025년 4월 1일부터 오프라인 됐다. 랜섬허브는 2024년 초 등장한 RaaS(Ransomware-as-a-Service) 조직으로, 록빗(LockBit) 조직의 영향력이 급감한 시기를 틈타 2024년 한 해 동안 전 세계 대상으로 수백건의 공격을 진행하며 급성장했다.  

하지만 2025년 4월 1일, 갑자기 인프라 중단 및 공식활동 종료를 선언했다. 정확한 사유는 밝혀지지 않았지만 랜섬허브 인프라 중단 후 드래곤포스가 랜섬허브 인프라를 장악했다고 주장했다.   

드래곤 포스는 2023년 12월 처음 등장한 RaaS 조직이다. 2025년 3월 자신들을 “랜섬웨어 카르텔(ransomware cartel)”이라고 선언하며 전통적인 RaaS 모델을 넘어 카르텔 스타일의 분산화된 생태계를 구축했다.  

화이트라벨 서비스를 도입, 여러 파트너들이 각자 브랜드와 이름으로 공격할 수 있도록 한다. 이를 지원하기 위해 암호화 모듈, 데이터 유출 사이크, 관리자 대시보드와 같은 다양한 기술적, 관리적 인프라를 제공한다. 파트너가 초기 침투만 성공하면 그 이후는 드래곤포스가 지원한다.

또한 파격적인 수익 분배 모델을 도입했다. 드래곤 포스는 수익 80% 배분 모델을 제시했고, 이는 일반적으로 수익의 70%를 배분해 주는 다른 RaaS 조직들에 비해 파트너에게 더 유리한 조건이다.  

랜섬허브 활동 중단 후, 대체 조직으로 빠르게 성장하고 있으며 가장 공격적인 신규 RaaS로 자리매김하고 있다.    

2025년 2분기에 새로 등장한 랜섬웨어는 2025년 4월 Gunra 랜섬웨어다. 이 랜섬웨어는 콘티(Conti) 랜섬웨어 기반으로 개발됐으며, 멀티 플랫폼을 공격 타깃으로 한다. Windows Management Instrumentation(WMI)을 통해 섀도우 복사본을 삭제하고 이중 갈취한다. 이 밖에도 Silent Ransomware, JGroup Ransomware, DireWolf Ransomware, IMN Crew Ransomware, DataCarry Ransomware, SatanLock Ransomware가 새로 등장했다.  

랜섬웨어는 지속적으로 공격방식을 고도화하고 있다.  아누비스(Anubis) 랜섬웨어는 와이퍼(Wiper) 기능을 내장해 암호화와 파일 파괴를 동시에 수행한다. 이 랜섬웨어는 "/WIPEMODE" 매개변수를 통해 파일 내용을 영구 삭제한다. 몸값을 지불해도 복구가 불가능하도록 제작돼 피해자와의 협상력 강화를 시도한다.  

세이프페이 랜섬웨어는 암호화 진행 전 데이터를 선별 탈취하고, 일정 시간이 지나면 민감한 데이터 일부를 선공개 하는 형태로 진화했다. 포그(Fog) 랜섬웨어는 합법적인 시스템 관리 도구와 오픈소스 모니터링 툴을 결합해 탐지 우회와 자동화된 전파 메커니즘을 구현했다. Interlock 랜섬웨어는 가짜 CAPTCHA와 ClickFix 기법을 활용해 IT 전문가들을 공격 타깃으로 삼기도 했다.  

2025년 2분기 랜섬웨어 동향은 법 집행기관의 적극적인 대응과 함께 랜섬웨어 조직들의 정교하고 파괴적인 공격을 보인다. 아누비스의 와이퍼 기능, 세이프페이의 단계적 협박, 인터록의 사회공학적 기법 등은 기존 랜섬웨어 공격 패러다임을 변화시키고 있다. 랜섬허브 몰락과 드래곤포스 급부상은 랜섬웨어 생태계의 급속한 변화를 보여준다.

Related Materials

• SK쉴더스, 2025년 1분기 KARA 랜섬웨어 동향 보고서 발간 - 더빅데이터, 2025년
• 2025년 01월 랜섬웨어 동향 보고서 - Tachyon ISARC, 2025년
• 민감정보 노리는 랜섬웨어, 2025년 1분기 주요 랜섬웨어 트렌드 - SK쉴더스, 2025년

″랜섬웨어 기승, 그들이 변했다”

💡Editor Pick - 2024년 1분기 1,024건, 2분기 1,117건, 3분기 1,024건 - 랜섬웨어 그룹 활동의 변화, 새 공격 기법 발전, 데이터 유출 전략 변화 전세계 랜섬웨어 침해 사고가 끊이지 않고 있다. 한국인터넷진흥원의 ’2024년 랜섬웨어 동향 보고서’에 따르면 2024년 랜섬웨어 총 피해 건수는 2024년 1분기 1,024건, 2분기 1,

The Tech EdgeCheifEditor

랜섬웨어 발전사...이중 협박 넘어 사중 협박

💡Editor’s Pick - 이중 협박의 시대도 안 끝났는데 등장한 사중 협박 - 이중 협박 + 디도스 + 지인 괴롭히기 = 사중 협박 - 인공지능과 핵티비즘과의 결합도 눈에 띄어 랜섬웨어 공격자들 사이에서 이중 협박 전략이 유행한 것도 벌써 수년 째다. 아직도 유효하긴 하지만 새로울 것은 없다. 그런데 보안 업체 아카마이(Akamai)가 ‘사중 협박’

The Tech EdgeJustAnotherEditor