편집자 주: 다음 게시물은 저희의 2025년 암호화 범죄 보고서에서 발췌한 것으로, 앞으로 몇 주에 걸쳐 위협 범주별로 분석할 예정입니다. 이전 게시물에서는 전체 암호화폐 거래량, 제재 대상 기관이 2024년에 불법 암호화폐 거래량을 늘린 방법, 그리고 테러리즘에서의 테러 자금 조달에 암호화폐 사용의 동향 지난 한 해 동안
2025년 암호화폐 범죄 보고서 전문을 읽고 사본을 다운로드하려면 여기를 클릭하세요, 여기를 클릭.
{{horizontal-line}}
랜섬웨어 2024년에 공개적으로 보고된 공격이 5, 635건 (분석은 2025년 1월 6일 기준 랜섬웨어 유출 사이트 데이터를 기반으로 하며, 과소 보고된 사고는 제외) 으로 2023년의 5,223건을 넘어서는 등 여전히 증가하고 있는 위협입니다.
랜섬웨어 공격자들의 금전적 요구도 전례 없는 수준에 이르렀는데, 2024년 3월 다크 엔젤스 랜섬웨어 그룹에 7500만 달러가 지불된 것이 그 예입니다. 이러한 랜섬웨어의 몸값 요구가 증가하는 것은 위협 행위자들이 점점 더 대담해지고 정교해지고 있으며, 이들은 첨단 도구와 기술을 활용하여 갈취를 극대화하고 있다는 것을 보여줍니다.
랜섬웨어 및 암호화폐 관련 범죄의 환경은 매우 유동적이며, 오늘날의 기준은 빠르게 진화할 수 있습니다. 2024년 TRM의 리스크 인텔리전스팀 확인한 주목할 만한 트렌드는 랜섬웨어 수익금 세탁을 위한 가상자산 믹서의 사용이 감소하고 있다는 점입니다. 대신, 위협 행위자들은 거래를 난독화하고 현금화하기 전에 가상자산 원활하게 전환하기 위해 크로스체인 브리지를 점점 더 많이 활용하고 있습니다.
비트코인이 랜섬웨어 결제를 위한 주요 통화로 남아 있지만, 이러한 자금의 상당 부분은 다운스트림에서 다른 암호화폐로 전환됩니다. 브릿지를 사용하면 불법 자금을 더 빠르고 효율적으로 전환할 수 있는 수단을 제공하는 동시에 사이버 범죄자들에게 익명성이 보장된다는 착각을 불러일으킬 수 있습니다.
새로운 랜섬웨어 그룹이 등장하고 기존의 다른 그룹이 브랜드를 변경했습니다.
2024년에는 브레인 사이퍼, dAn0n, 드래곤포스, 포그, 펑크섹, 랜섬웨어 , 사르코마, 트리니티 등 새로운 랜섬웨어 그룹이 등장했습니다. 이 그룹들은 다양한 산업 분야에서 정교한 전술과 성공적인 공격으로 빠르게 악명을 떨치고 있습니다. 예를 들어, 트리니티는 영국과 미국에 기반을 둔 두 개의 의료 서비스 제공업체를 포함하여 의료 및 정부 기관과 같은 중요 인프라를 표적으로 삼은 것으로 알려져 있습니다.
신규 진입자 외에도 몇몇 저명한 랜섬웨어 그룹은 법 집행 기관의 조사를 피하기 위해 새로운 이름으로 브랜드를 변경하거나 운영을 전환했습니다. 주목할 만한 사례로는 혁신적인 갈취 방법을 채택하여 효과를 높인 Lynx(일명 INC), 데니스테히트맨(일명 글로브임포스터), 치린(일명 아젠다) 같은 그룹이 부활한 것을 들 수 있습니다.
랜섬웨어(RaaS) 모델은 계속해서 생태계를 지배하고 있으며, 숙련도가 낮은 공격자들이 영향력이 큰 공격을 수행할 수 있도록 지원하고 있습니다. 온체인 활동에서 알 수 있듯이 공격자들은 점점 더 적응력이 높아져 플랫폼과 그룹을 자주 전환하고 있습니다.
랜섬웨어 환경은 전통적으로 러시아어를 사용하는 공격자들, 특히 관리자 수준의 공격자들과 밀접한 관련이 있었지만, 수년에 걸쳐 다양해졌습니다. 이제 그룹은 다양한 언어 능력을 갖춘 전 세계 지역의 계열사를 통합하고 있습니다. 인스턴스 경우, 드래곤포스 랜섬웨어 TOR 사이트의 관련 공격자들의 음성 녹음에서 알 수 있듯이 북아시아 또는 중앙 아시아와의 관계를 통해 이러한 변화를 보여줍니다.
이러한 변화에도 불구하고 러시아어를 사용하는 랜섬웨어 그룹은 사이버 범죄 환경에서 가장 정교한 공격자들과 함께 여전히 매우 활발하게 활동하고 있습니다. 이러한 그룹 중 다수는 고급 암호화 기술, 혁신적인 갈취 전술, 운영 확장을 위한 RaaS 모델을 활용하여 유명한 공격과 연계되어 있습니다.
2024년에 주목할 만한 공격은 주로 기술, 소매 및 금융 서비스 부문을 표적으로 삼았습니다.
데이터 유출 사이트가 급증하면서 공개적인 수치심과 갈취의 플랫폼 역할을 하고 있습니다. 이러한 사이트는 다층적인 갈취 전략에 점점 더 많이 사용되고 있으며, 피해자의 이름과 회사 정보를 게시하여 피해자에게 몸값을 지불하도록 압력을 가하고 있습니다.
2024년 랜섬웨어 공격은 계속해서 중요 부문을 표적으로 삼아 광범위한 혼란을 야기했으며, 상위 3개 부문은 기술, 제조, 전문 서비스였습니다 (분석은 2025년 1월 6일 기준 랜섬웨어 유출 사이트 데이터를 기반으로 하며, 미보고된 사고는 제외). 2025년까지 이어질 트렌드를 보면 랜섬웨어 그룹은 효율성과 영향력을 극대화하기 위해 의료 및 중요 인프라, 공급망 취약성, 클라우드 서비스 제공업체를 지속적으로 표적으로 삼을 것으로 예상됩니다.
- 의료 및 중요 인프라: 의료 시스템은 여전히 주요 표적이 되고 있으며, 공격으로 인해 환자 치료와 운영에 심각한 차질을 빚고 있습니다. Change Healthcare 및 PIH Health와 같은 조직에 대한 공격은 중요 서비스가 사이버 위협에 얼마나 취약한지를 잘 보여줍니다.
- 공급망 침해: 공격자들은 다운스트림에 미치는 영향을 극대화하기 위해 CDK 글로벌, 블루욘더와 같은 벤더 및 서비스 제공업체에 점점 더 집중하고 있습니다. 이 전략은 특히 의존도가 높은 기술 및 제조 부문에서 파괴적인 영향을 미쳤습니다.
- 클라우드 서비스 제공업체: 클라우드 서비스 제공업체를 표적으로 삼은 공격으로 인해 민감한 데이터가 노출 글로벌 서비스가 중단되는 사태가 발생했습니다. 2024년 6월, 데이터 도난 공격이 클라우드 데이터 플랫폼 Snowflake의 고객을 표적으로 삼아 AT&T, 티켓마스터, 산탄데르 은행과 같은 기업에서 침해 사고가 발생했습니다. 공격자들은 인포스틸러 멀웨어를 통해 로그인 자격 증명을 획득하여 민감한 고객 데이터를 유출했습니다.
랜섬웨어 공격자를 차단하는 데 있어 국제적 협력은 매우 중요합니다.
2024년, 랜섬웨어 대응하기 위한 전 세계적인 노력에는 락빗의 인프라를 교란한 크로노스 작전과 유럽 전역의 랜섬웨어 네트워크를 겨냥한 엔드게임 작전과 같은 주요 국제 협력이 포함되었습니다. 랜섬웨어 대응 이니셔티브(CRI)는 68개 국가가 모여 랜섬웨어 대응 전략을 강화하는 한편, 이블 코퍼레이션과 같은 그룹의 주요 인물을 대상으로 제재를 가했습니다. 이러한 성공에는 공공 기관과 민간 기관 간의 협력 강화가 중요한 역할을 했습니다. 실시간 정보 공유와 공동 작전을 통해 자원을 확대하고 진행 중인 공격을 적시에 차단할 수 있었으며, 랜섬웨어 대응하는 데 있어 강력한 파트너십의 중요성을 강조했습니다 랜섬웨어
{{horizontal-line}}
이 시리즈의 다음 편입니다: 2024년 해킹과 익스플로잇으로 인한 암호화폐 손실에 대해 자세히 살펴보고, 작년에 북한이 수행한 주요 공격에 대해 자세히 알아보겠습니다.
2025 암호화폐 범죄 보고서 전문을 자세히 살펴볼 준비가 되셨나요? 여기에서 사본을 받아보세요.
트론, 솔라나 및 기타 23개 블록체인에 대한 보도 내용을 확인하세요.
양식을 작성하여 조사 전문 서비스에 대해 저희 팀과 상담하세요.
