2025년 6월 랜섬웨어 동향 요약 (Executive Summary)

2025년 6월에는 아래와 같은 주요 특징이 관통했습니다

• 새로운 랜섬웨어 그룹인 Interlock, SafePay, J Group, IMN Crew 등의 등장 
• 랜섬웨어 발생량은 소폭 감소했지만 서비스형 랜섬웨어(RaaS)와 다중·이중 협박(Multi/Double Extortion) 방식이 확산
• AI 기반 스캔·피싱 자동화, Credential-based 공격 증가로 공격 빈도와 정교함 동시 상승

이 글을 통해 다음 인사이트를 제공합니다.

• 2025년 6월 한 달의 최신 위협 트렌드 사례와 분석
• 주요 공격 그룹(Interlock, SafePay 등)과 그들의 TTPs 요약
• 중소기업 및 일반 직장인이 적용할 수 있는 실질적 대응 전략

~ 2025년 6월의 주요 랜섬웨어 트렌드

1. 공격 벡터 변화

• AI 기반 자동화+스캔 증가
• Fortinet 보고에 따르면 AI 기반 스캔이 초당 36,000회로 1년 전보다 16.7% 증가했으며, RDP·IoT·SIP 시스템이 초기 표적으로 자주 노출되고 있습니다.
• 정교해진 피싱·정보 탈취
• Pik와 같은 공격은 TikTok 등 소셜 플랫폼을 통한 infostealer로 시작, AI 생성 내용이 포함된 이메일로 이어지고 있습니다.
• 공격 초기 단계에서 antivirus/backup 프로세스 제거
• Halcyon에 따르면 Python 기반 트로이 목마 ‘Goch’가 AV와 백업 서비스를 종료시키고 랜섬웨어 동작을 준비하는 등, 준비단계 공격 증가는 주목할 만합니다.

2. 타겟 산업·지역

• 전문 서비스 & 제조업 우선 타격
• Cyfirma에 따르면 전문 서비스·제조업에서 94회 이상의 랜섬웨어 공격이 발생했고  , Unit 42도 제조업·건설·보건·물류 산업에서 빈번한 중첩 타깃을 확인.
• 의료 분야 · 클라우드·가상 서버 표적 증가
• Interlock과 같은 그룹이 의료·기술·제조·클라우드 자원(ESXi 서버 포함)을 대상으로 활동 증가.
• 미국 중심, 아시아도 점진적 증가
• 미국이 전체의 과반수를 차지하며 , 한국 및 아시아에서는 VPN 인증서 유출을 통한 침입 사례도 보고 중입니다.

3. 공격 기법 진화

• 다중 협박 전략 강화
• 암호화 이후 + 데이터 유출 + DDoS 동시 진행하는 Multi‑Extortion 방식이 확대.
• Modular/Python 기반 악성코드 부상
• ‘Goch’처럼 Python 스크립트 기반의 데이터 탈취+원격제어+랜섬 기능을 결합한 모듈성 공격이 증가.
• Leak Site 운영 활발화
• SafePay, SilentRansomGroup, J Group, IMN Crew 등 신규 그룹이 랜섬웨어 노출 웹사이트 운영을 시작하며 급격히 활동 증가

반응형

주목할 랜섬웨어 그룹 분석

Interlock

• 특징: Windows/Linux 모두 대상 공격, data leak site 운영 강조 
• TTPs: PowerShell, credential stealer, keylogger 도입 → SystemBC RAT → 최종 암호화
• 5월 동향: 월간 최다 활동 기록, 다양한 산업 포괄 타격 

SafePay

• 특징: Cyfirma 기준 5월 가장 많은 72건 공격 발생 
• 타겟: 전문 서비스·제조업 중심
• TTPs: 정교한 모듈형 로더를 통한 초기 침투, JPEG 등 다양한 전달 방식 활용

SilentRansomGroup & J Group / IMN Crew

• SilentRansomGroup: 67건 새롭게 활동 보고, leak site 게시 강화 
• J Group, IMN Crew: 신규 등장해 그룹 간 경쟁 구도 형성, 모듈형 공격 구조 지향 
• TTPs: 기존 툴(AnyDesk, RDP) + JPEG‑embedded malware 연계

 

실질적인 랜섬웨어 대응 전략

1단계: 예방 및 방어 (Prevention)

• 시스템 강화
  • AI 기반 스캔 대응으로 RDP/SSH 접속 최소화 + MFA 적용
  • 자동화된 정기 패치 시스템 구축, Zero‑day 방어 강화
  • 내부망/VLAN 분리로 권한 최소화
• 데이터 보호 체계 확립
  • 3‑2‑1 백업 원칙(3 copy, 2 medias, 1 off‑site)
  • 백업 무결성 검증 주기적 실시, 오프사이트 복구 훈련 포함
  • AV/backup 중단 악성코드 대응을 위한 보완 백업 프로세스 도입
• 직원 보안 인식 강화
  • AI 생상 이메일, social engineering 기반 피싱 훈련 강화
  • 의심 메일 신고 → SOAR 연계 자동화 체계 도입

2단계: 탐지 및 분석 (Detection)

• 행위 기반 탐지 확대
  • AI 기반 스캔 탐지 → SIEM 경보 → 자동 대응 연계
  • 파일 접근/수정 패턴의 이상 징후 실시간 모니터링
• 엔드포인트 보안(EAI/EDR/XDR) 강화
  • 프로세스 간 비정상 연동, 백업 종료 시도 등을 탐지
  • Python/RAT 프로세스 이상 여부 분석 포함

3단계: 사고 대응 및 복구 (Response & Recovery)

• 초기 대응 매뉴얼
  • 감염 시 즉시 네트워크 격리 및 포렌식 이미지 보존
  • 관련 시스템 로그의 자동 백업/보존 정책 실행
• 복구 및 재발 방지
  • 3‑2‑1 백업으로 주요 자산 복원 진행
  • 포렌식 결과 기반 보안 정책 재정비 + TTPs 공유
  • 고객·규제 기관 대상 정기 침해 공지 및 사후 대응 보고 시행

결론 : 이후 및 하반기 전망

랜섬웨어 분석을 종합해 보면 다음과 같은 하반기 보안 대비 키워드가 도출됩니다.

• 공격 자동화와 AI 연계 고도화로 공격 속도와 정밀도 강화
• 공급망·클라우드 환경 탈취 확대 → 시스템 전체 방어체계 필요
• 소규모 전문화 조직의 공격 증가로 중소기업도 고위험 대상화

보안은 일회성 이벤트가 아닌, 지속적 프로세스입니다. 대응 자동화, 인텔리전스 기반 모니터링, 사고 대응 훈련은 이제 선택이 아닌 필수입니다.

감사합니다.