보안정보

최근 Microsoft Exchange에서 패치된 취약점들은 사이버 범죄자들 사이에서 새로운 관심을 불러일으켰고, 사이버 범죄자들은 이 특정 벡터에 초점을 맞춘 공격의 양을 증가시켰다.

 

지난 6개월 동안 랜섬웨어 공격이 빈도가 높아졌지만, 지난주 사이버 보안업체 CheckPoint는 이른바 프록시 로그온(ProxyLogon)의 중요 버그에 취약한 Microsoft Exchange 서버를 대상으로 한 사건이 급증하는 것을 목격했다.

 

패치가 빠른 속도로 진행되고 있음에도 불구하고, 공격 시도가 전 세계적으로 3배 증가하여 수만 건을 헤아렸다.

 

Microsoft에 따르면 3월 14일에 약 82,000개의 취약한 Exchange 서버가 존재한다고 한다. 그리고 약 1주일 후 RiskIQ의 데이터에 따르면 노출된 컴퓨터 수는 약 30,000대로 상당히 감소했다.

 

지난주 CheckPoint의 원격측정 자료에 따르면 전 세계적으로 5만 건 이상의 공격 시도가 있었으며, 대부분이 정부/군사, 제조업, 은행/금융 분야의 조직을 대상으로 한 공격 시도였다.

 

공격 시도의 대부분(49%)은 미국에서 발생했으며, 훨씬 적은 사건(영국-5%, 네덜란드 및 독일-4%)을 기록한 다른 국가에 비해 단연 가장 매력적인 지역이다.

 

지난 6개월 동안 전세계적인 차원에서 랜섬웨어 공격이 57% 증가했으며, 더욱 우려되는 것은 연초 이후 매달 9%씩 꾸준히 증가하는 것이다.

 

관찰된 일반적인 랜섬웨어 변종(Maze, RYuk, REVIL)을 제외하면, WannaCry 랜섬웨어의 영향을 받는 조직의 수가 53% 증가했다고 말한다.

 

거의 4년 전, WannaCry 발발은 NSA의 Windows Server Message Block (SMB) 용 EternalBlue를 통해 전파되어 단 며칠 만에 수억 달러의 피해를 입혔다.

 

보안 연구원 마커스 허친스가 킬 스위치를 발견하고 Microsoft가 패치를 발표한 후 확산이 억제되었지만, 200,000 대 이상의 컴퓨터가 공격의 영향을 받았다.

 

하지만 악성 코드는 근절되지 않았으며, 보안 회사는 요즘에도 WannaCry를 계속 감지한다. 1월에는 TrendMicro의 랜섬웨어 탐지 1위를 차지했다.

 

[그림 1. 미국에서 발견된 랜섬웨어 TOP3]

 

이 같은 높은 숫자의 이유는 WannaCry가 웜에 노출되고 수천 개의 시스템이 여전히 공용 인터넷을 통해 도달할 수 있는 EternalBlue에 취약하기 때문이다.

 

CheckPoint는 2020년 12월부터 동일한 추세를 관찰했으며 2021년 3월 공격이 12,000건 이상 계속 증가했다.

 

[그림 2. Wannacry 공격 급증]

 

이 수치를 보면 패치 적용의 중요성을 알 수 있습니다. 그렇지 않으면 조직은 대부분 소멸되어야 하는 공격 벡터에 취약하다. 

 

출처

https://www.bleepingcomputer.com/news/security/microsoft-exchange-attacks-increase-while-wannacry-gets-a-restart/