동향 리포트/월간 동향 리포트

2021년 05월 랜섬웨어 동향 보고서

알 수 없는 사용자 2021. 6. 4. 17:30

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 23곳의 정보를 취합한 결과이다.

 

20215(5 1 ~ 5 31)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "Conti" 랜섬웨어가 62건으로 가장 많은 데이터 유출이 있었고, "DoppelPaymer" 및 "Sodinokibi" 랜섬웨어가 20건으로 두번째로 많이 발생했다.

 

[그림 1] 2021년 5월 진단명별 데이터 유출 현황

 

20215(5 1 ~ 531)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 47%로 가장 높은 비중을 차지했고, 프랑스와 독일이 각각 8%, 영국과 이탈리아가 각각 7%6%로 그 뒤를 따랐다.

 

[그림 2] 2021년 5월 국가별 데이터 유출 비율

 

20215(5 1 ~ 5 30)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 유통/무역/운송 분야 및 기술/통신 분야가 그 뒤를 따랐다.

 

[그림 3] 2021년 5월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

20215(51~ 531) 한 달간 랜섬웨어 동향을 조사한 결과, "DarkSide" 랜섬웨어가 미국 파이프 라인 시스템인 Colonial Pipeline과 독일의 화학 유통 기업 Brenntag를 공격했다. 또한, "Ryuk" 랜섬웨어가 유럽의 생체 분자 연구 기관을 공격했고, 아일랜드 의료 서비스 단체 HSE와 글로벌 보험 컨설팅 대기업 AXA가 각각 "Conti" 랜섬웨어와 "Avaddon" 랜섬웨어 공격을 받아 데이터가 유출된 사건이 있었다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

유럽 생체 분자 연구 기관, Ryuk 랜섬웨어 피해 사례

지난 5월 초, "Ryuk" 랜섬웨어 조직이 유럽의 생체 분자 연구 기관을 공격한 것으로 알려졌다. 해당 사건을 조사한 업체는 "Ryuk" 랜섬웨어 조직이 사용한 자격 증명이 연구소에 소속된 학생 중 한 명의 것과 동일하며, 해당 학생이 불법 크랙 버전 소프트웨어를 다운로드 받아 사용하는 과정에서 연구소 관련 자격 증명이 탈취된 것으로 추정하고 있다. 피해 기관은 이전에 백업해둔 데이터를 사용해 일부 데이터를 복구했지만 1주일간의 연구 데이터를 잃었으며 정상적인 연구를 재개하기 위해 시스템 및 서버를 처음부터 다시 구축했다고 알렸다.

 

미국 파이프 라인 시스템 Colonial Pipelin, DarkSide 랜섬웨어 피해 사례

지난 57, 미국 송유관 업체 콜로니얼 파이프라인이 사이버 공격을 받아 일시적으로 운영이 중단됐으며 FBI에서 해당 사건의 배후가 "DarkSide" 조직임을 밝혔다. 사건 당시 피해 기업은 해당 사건에 대해 조사가 진행 중이라고 언급하며 사건과 관련한 내용을 공개하지 않았고, 현재는 시스템 복구를 완료하고 운영을 재개했다.

 

독일 화학 유통 기업 Brenntag, DarkSide 랜섬웨어 피해 사례

지난 5월경, 독일의 화학 유통 기업 Brenntag가 사이버 공격을 당했다고 발표했다. 해당 기업은 사이버 공격을 인지한 후 이에 대한 대응으로 영향 받은 시스템을 네트워크에서 분리했으며 이번 사건에 대해 법 집행 기관에 알리고 조치를 취하고 있다고 공지했다. 이에 "DarkSide" 랜섬웨어 측은 자신들이 Brenntag을 공격했다고 주장하며 증거로 피해 기업에서 탈취한 약 150GB의 데이터 중 일부를 직접 운영하는 데이터 유출 사이트에 이미지 파일로 게시했다.

 

아일랜드 의료 서비스 단체 Health Service Executive(HSE), Conti 랜섬웨어 피해 사례

아일랜드의 의료 서비스 단체인 Health Service Executive(HSE)가 "Conti" 랜섬웨어 공격을 받아 운영에 차질이 생겼다. 이로 인해 진단 및 의료 기록 열람이 제한되어 의료 서비스 제공에 문제가 발생했고, 아일랜드 전역의 의료 서비스를 필요로 하는 환자들이 불편함을 겪었다. "Conti" 측은 피해 단체의 환자 및 직원 정보, 계약, 제무 제표, 급여 정보 등을 포함한 약 700GB의 데이터를 탈취했다고 주장했으며 이에 대한 대가로 약 2000만 달러의 랜섬머니를 요구했다. 이에 대해 아일랜드 총리는 "Conti" 측과의 협상은 없을 것이라며 요구 조건을 거절하는 의사를 밝혔다.

 

글로벌 보험 컨설팅 기업 AXA, Avaddon 랜섬웨어 피해 사례

최근, 글로벌 보험 컨설팅 기업 AXA가 "Avaddon" 랜섬웨어 공격을 받았다. "Avaddon" 랜섬웨어 운영진은 피해 기업의 고객 의료 보고서, ID 카드, 은행 계좌 명세서, 청구 양식, 지불 기록, 계약서를 포함한 데이터 3TB를 훔쳤다고 주장했다. 공격 당시 피해 기업측은 웹사이트가 DDoS 공격에 의해 한동한 접속이 불가능 했으며 법집행 기관 및 비즈니스 파트너에게 피해 사실을 알리고 조사를 진행 중 이라고 밝혔다. 또한, "Avaddon" 측이 시스템 복원을 위한 랜섬머니로 500만 달러를 요구한 것으로 알려졌다.