동향 리포트/월간 동향 리포트

2021년 04월 랜섬웨어 동향 보고서

TACHYON & ISARC 2021. 5. 10. 15:18

 

랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 19곳의 정보를 취합한 결과이다.

2021 4(4 1 ~ 4 30)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “Conti” 랜섬웨어가 38건으로 가장 많은 데이터 유출이 있었고, “Sodinokibi” 랜섬웨어가 32건으로 두번째로 많이 발생했다.

 

[그림 1] 2021년 4월 진단명별 데이터 유출 현황

 

2021 4(4 1 ~ 4 30)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 52%로 가장 높은 비중을 차지했고, 프랑스와 이탈리아가 각각 10% 9%, 캐나다와 영국 각각 7% 5%로 그 뒤를 따랐다.

 

[그림 2] 2021년 4월 국가별 데이터 유출 비율

 

2021 4(4 1 ~ 4 30)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 도소매업/전자상거래 분야 및 기술/통신 분야가 그 뒤를 따랐다.

 

[그림 3] 2021년 4월 산업별 데이터 유출 현황

 

 

랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2021 4(4 1 ~ 4 30) 한 달간 랜섬웨어 동향을 조사한 결과, “Sodinokibi” 랜섬웨어가 프랑스 화장품 판매 업체 Pierre Fabre와 대만의 노트북 제조업체 Quanta를 공격했다. 또한, “Ragnarok" 랜섬웨어가 이탈리아 의류 브랜드인 Boggi Milano를 공격했고, NBA Houston Rockets와 영국 철도 기업 Merseyrail이 각각 “BabukLocker” 랜섬웨어와 “LockBit” 랜섬웨어 공격을 받아 데이터가 유출된 사건이 있었다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

이탈리아 의류 브랜드 Boggi Milano, Ragnarok 랜섬웨어 피해 사례

지난 4월 초, "Ragnarok" 랜섬웨어 조직이 이탈리아 의류 브랜드 Boggi Milano를 공격해 탈취한 데이터 약 40GB를 직접 운영하는 데이터 유출 사이트에 게시했다고 주장하며 랜섬머니를 요구한 것으로 알려졌다. 이에 대해 피해 기업 측은 조사가 진행 중이라고 밝혔다.

 

프랑스 화장품 판매 업체 Pierre Fabre, Sodinokibi(=REvil) 랜섬웨어 피해 사례

지난 4월 중순, 프랑스 화장품 판매 업체 Pierre Fabre "Sodinokibi" 랜섬웨어 공격을 받았다. 피해 업체는 이번 사이버 공격으로 원료 제조 시설을 제외한 대부분의 생산 시설이 일시적으로 중단됐으며 관련 사건에 대해 조사 중이라고 밝혔다. 현재, “Sodinokibi” 측은 피해 기업을 공격한 증거로 탈취한 데이터를 직접 운영하는 데이터 유출 사이트에 게시했다고 주장 중이며, 피해기업이 랜섬머니를 지불하는 기한이 지나 기존 랜섬머니에서 2배 증가한 5천만 달러를 요구한 것으로 알려졌다.

 

NBA Houston Rockets, BabukLocker 랜섬웨어 피해 사례

지난 4월 말, NBA Houston Rockets가 랜섬웨어 공격을 받았다고 보도했다. 해당 구단은 이번 공격으로 일부 시스템이 손상됐지만, 팀 운영에는 큰 영향을 미치지 않았다고 언급했다. 또한, 이번 사건에 대해 조사가 완료될 때까지 상세한 내용은 발표하지 않겠다고 밝혔다. 한편, “BabukLocker” 랜섬웨어 측은 피해 구단의 계약, 재무 정보 등과 관련한 데이터 약 500GB 중 일부를 직접 운영하는 데이터 유출 사이트에 이미지 파일로 게시하며 랜섬머니를 요구하고 있다.

 

대만 노트북 제조업체 Quanta, Sodinokibi(=REvil) 랜섬웨어 피해

대만의 노트북 제조업체인 Quanta “Sodinokibi” 랜섬웨어 공격을 받아 제품 설계도가 유출됐다. “Sodinokibi” 측은 피해 업체에서 탈취한 데이터 중 일부를 직접 운영하는 데이터 유출 사이트에 게시하며 5,000만 달러의 랜섬머니를 지불 지불할 것을 요구했다. 이에 대해 피해 기업은 “Sodinokibi” 측과의 협상은 없을 것이라며 요구 조건을 거절했으며 관련 공격에 대응하기 위해 외부 IT 전문가와 협력 중이라고 밝혔다.

 

영국 철도 기업 Merseyrail, LockBit 랜섬웨어 피해 사례

최근, 영국 철도 기업 Merseyrail “LockBit” 랜섬웨어 공격을 받았다. “LockBit” 랜섬웨어 운영진은 피해 기업의 직원과 언론인에게 "Lockbit Ransomware Attack and Data Theft"라는 제목의 메일을 보냈으며 해당 메일에는 피해 기업에서 탈취한 정보 중 일부의 스크린샷 링크가 포함된 것으로 알려졌다. 이에 대해 피해 기업 측은 관련 사건에 대해 조사 중이라고 말했다.