랜섬웨어 조직 '세이프페이' 급부상
2025년 5월, 랜섬웨어 생태계는 리더십 교체와 새로운 그룹의 부상으로 격변기를 맞았다. 2024년 가장 활발한 행보를 보였던 랜섬허브(RansomHub)가 지난 4월, 인프라 다운 이후 공식적으로 활동을 중단하면서, 세이프페이(SafePay)가 약 58개 피해 기업을 공개하며 5월 가장 활발한 랜섬웨어 그룹으로 부상했다.
안랩이 발표한 '2025년 5월 딥웹 & 다크웹 동향보고서'에 따르면 전체적으로 랜섬웨어 그룹들은 5월 한 달 동안, 약 384건의 피해자를 자신들이 운영하는 DLS (Dedicated Leak Site)에 게시했다. 피해자를 공개한 건수로는 Qilin, Play, Akira, NightSpire가 뒤를 이었으나, DevMan과 같은 신흥 그룹들도 주목할 만한 활동을 보였다.
주목할 점은 Stormous가 독일의 자동차 제조 대기업 *** Group을 표적으로 삼았다고 주장했으나, *** 측은 내부 조사 결과 무단 접근 증거를 발견하지 못했다고 반박했다.
새로운 랜섬웨어 그룹 DATACARRY, Dire Wolf, J Group 등도 등장했다. 이들은 각각 8개국, 6개 조직, 9개 기업에 대한 공격을 주장하며 활동을 본격화했다. VanHelsing 랜섬웨어의 소스코드가 다크웹 포럼에서 무료로 유출되어 모방 공격 증가 우려가 제기됐다.
기술적으로는 Play 랜섬웨어가 Windows CLFS 제로데이(CVE-2025-29824)를 악용한 공격을 수행했다. 새로운 EDR 우회 기법인 ‘Bring Your Own Installer’가 랜섬웨어 공격에 악용되는 등 공격 기법의 고도화가 지속됐다. 특히 데이터 암호화보다 데이터 유출 후 협박으로 전술 변화가 가속화되는 추세를 보였다.
주요 랜섬웨어 조직 동향을 살펴보면 세이프페이는 2024년 가을 처음 등장한 SafePay는 5월, 약 58개 피해 기업을 공개하며 가장 활발한 그룹으로 부상했다. 미국과 독일을 주요 타깃으로 한다. 특히 의료기관과 교육기관에 집중하는 양상을 보였다. RaaS (Ransomware-as-a-Service) 모델을 사용하지 않고 직접 운영하는 것이 특징이다. VPN과 RDP 취약점을 이용해 초기 침투한 뒤 24시간 이내에 빠르게 암호화를 하는 능력을 갖추고 있다.
퀼린(Qilin)은 5월, 약 54개 피해자를 공개하며 2위를 기록했다. *** Parts, B*** Inc. 등 자동차 부품 제조업체들을 지속적으로 노렸다. 북한 연계 관련 그룹과의 연관성이 확인돼 국가 지원 위협의 복합화를 보였다.
플레이(Play)는 Windows CLFS 제로데이 취약점(CVE-2025-29824)을 악용한 공격으로 주목받았다. 미국 캐나다 소재 4개 기업과 일본 *** Links Co. Ltd. 등을 공격했으며, 제로데이 익스플로잇 활용 능력을 과시했다.
데브맨(DevMan)은 13개 피해자를 주장하며 급성장하는 신흥 그룹이다. 태국 *** 공격에서 모든 시스템과 NAS 장치를 암호화하며 “.devman1” 확장자를 사용했다. 다중 RaaS 제휴를 통해 Qilin, DragonForce, RansomHub 등과 협력관계를 구축했다.
드레곤포스(DragonForce)는 5월 가장 주목받은 랜섬웨어 그룹이다. 영국 소매업계를 강타한 연쇄 공격으로 M의 온라인 주문 시스템을 마비시키고, C에서는 2천만 명의 회원 데이터를 탈취했다고 주장했다. H***도 공격 대상이 되었으나 신속한 대응으로 피해를 최소화했다. DragonForce는 RansomHub 중단 이후 다수의 제휴자들을 흡수하며 랜섬웨어 생태계에서 영향력을 확대했다.
랜섬허브(RansomHub)는 2024년 가장 활발했던 랜섬웨어 그룹이었으나 4월에 공식적으로 활동 중단을 발표했다. 내부 갈등과 제휴자들 간의 분쟁이 원인으로 추정되며, 일부 구성원들은 Qilin으로 이동한 것으로 관찰되었다.
스톰아우스(Stormous)의 경우 DLS는 최근 리뉴얼을 통해 디자인을 변경하고, 특정 시간대에만 운영하던 기존 원칙을 폐기했다. 또한 호텔 및 리조트 관련 피해자 정보를 대거 게시하며 공격 성향을 드러냈다. 그룹은 독일 자동차 제조업체인 *** 그룹을 공격했다고 주장했으나, 이를 입증할 만한 침해 증거는 제시하지 못했다.
산업별 피해로는 소매업계가 5월 가장 큰 타격을 받았다. DragonForce의 영국 소매업체 연쇄 공격으로 M***, C***, H***가 피해를 입었으며, 이는 소매업계에 대한 집중적인 표적 공격의 시작을 알렸다.
