동향 리포트/월간 동향 리포트

2021년 06월 랜섬웨어 동향 보고서

알 수 없는 사용자 2021. 7. 2. 11:32

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 23곳의 정보를 취합한 결과이다.

 

20216(6 1 ~ 630)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "Conti" 랜섬웨어가 66건으로 가장 많은 데이터 유출이 있었고, "Sodinokibi" 랜섬웨어가 18건으로 두번째로 많이 발생했다.

 

[그림 1] 2021년 6월 진단명별 데이터 유출 현황

 

20216(6 1 ~ 630)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 58%로 가장 높은 비중을 차지했고, 프랑스와 이탈리아가 각각 10%5%, 캐나다와 독일이 각각 3%3%로 그 뒤를 따랐다.

 

[그림 2] 2021년 6월 국가별 데이터 유출 비율

 

20216(6 1 ~ 6 30)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 도소매업/전자상거래 분야 및 기술/통신 분야가 그 뒤를 따랐다.

 

[그림 3] 2021년 6월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

20216(61~ 630) 한 달간 랜섬웨어 동향을 조사한 결과, 국내에서는 성형외과 의원이 랜섬웨어 공격을 받았고, 해외에서는 "Sodinokibi" 랜섬웨어가 일본 정밀화학 업체 후지 필름과 미국 에너지 업체인 Sol Oriens를 공격했다. 또한, 대만 메모리 및 스토리지 제조업체 ADATA와 캐나다 부동산 소프트웨어 솔루션 회사인 Altus Group이 각각 "RagnarLocker" 랜섬웨어와 "Hive" 랜섬웨어의 공격을 받아 데이터가 유출된 사건이 있었다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

일본 정밀화학 업체 후지 필름, Sodinokibi(=REvil) 랜섬웨어 피해 사례

지난 6월 초, 일본 정밀화학 업체 후지 필름이 사이버 공격을 당했다고 발표했다. 해당 기업은 사건 당시 공격의 확산을 막기 위해 일부 네트워크를 차단했으며, 후지 필름 미국 지사는 웹 사이트에 랜섬웨어 공격을 당했다는 내용의 글을 게시했다. 현재 피해 업체는 이번 사건과 관련한 세부 정보를 공개하지 않았고, 회사 외부로 유출된 정보가 없다는 사실과 함께 손상된 시스템의 복구를 완료했다고 밝혔다. 한편, 한 외부 보안 전문가는 후지 필름 공격에 사용된 "Qbot" 악성코드를 통해 "Sodinokibi" 랜섬웨어에 감염된 것일 거라고 추정했다.

 

국내 성형외과 의원, 랜섬웨어 피해 사례

국내 성형외과 의원이 랜섬웨어 공격을 받아 운영에 차질이 생겼다. 해당 의원은 사건 직후 홈페이지에 랜섬웨어 공격을 받았다는 내용의 공지글을 게시해 고객들에게 관련 사실을 알렸다. 공지글에 따르면 공격자는 지난 5 22일 피해 업체의 서버에 침투해 랜섬웨어 공격을 수행했으며, 탈취한 고객 연락처를 사용해 고객들과 직접 연락을 취한 정황이 파악됐다고 한다. 현재, 피해 업체는 경찰 등의 수사 기관을 통해 해당 사건에 대해 조사 중이다.

 

대만 메모리 스토리지 제조업체 ADATA, RagnarLocker 랜섬웨어 피해 사례

대만 메모리 및 스토리지 제조업체 ADATA가 사이버 공격을 받아 일시적으로 운영이 중단됐다. 사건 당시 공격자들이 요구한 랜섬머니는 200,000~600,000달러이며, 피해 업체는 고객들에게 이메일을 보내 피해 사실과 함께 사건 관련 정보를 알렸다. 현재, "RagnarLocer" 측은 자신들이 ADATA를 공격했다고 주장하며 피해 업체에서 탈취한 데이터 1.5TB 중 약 700GB를 직접 운영하는 데이터 유출 사이트에 게시했다.

 

미국 에너지 업체 Sol Oriens, Sodinokibi(=REvil) 랜섬웨어 피해 사례

미국 에너지 업체 Sol Oriens가 랜섬웨어 공격을 받아 운영에 차질을 빚었고, 웹 사이트 운영이 중단됐다. 피해 업체는 해당 사건의 조사를 통해 정확한 피해 규모를 파악하고 있으며, 확인이 완료되면 기업 및 개인에게 알릴 것이라고 언급했다. 피해 업체를 공격한 것으로 추정되는 "Sodinokibi" 랜섬웨어 측은 자신들이 Sol Oriens를 공격했다고 주장하며 직접 운영하는 데이터 유출 사이트에 피해 업체에서 탈취한 정보의 경매글을 게시했다.

 

캐나다 부동산 소프트웨어 솔루션 회사 Altus Group, Hive 랜섬웨어 피해 사례

지난 6월 중순, 캐나다 부동산 소프트웨어 솔루션 회사 Altus Group이 랜섬웨어 공격을 받았다. "Hive" 랜섬웨어 측은 자신들이 Altus Group을 공격했다고 주장하며 탈취한 정보를 직접 운영 중인 데이터 유출 사이트에 게시했다. 이들이 게시한 자료에는 피해 업체의 비즈니스 관련 자료와 소프트웨어 개발 관련 자료 등이 있으며 현재, 피해 업체는 데이터 유출과 관련된 증거가 없다고 주장하며 관련 사실을 부인하고 있다.