동향 리포트/월간 동향 리포트

2021년 07월 랜섬웨어 동향 보고서

알 수 없는 사용자 2021. 8. 4. 11:08

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 35곳의 정보를 취합한 결과이다.

20217(7 1 ~ 731)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 "LockBit" 랜섬웨어가 31건으로 가장 많은 데이터 유출이 있었고, "Conti" 랜섬웨어가 25건으로 두번째로 많이 발생했다.

 

[그림 1] 2021년 7월 진단명별 데이터 유출 현황

 

20217(7 1 ~ 731)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 32%로 가장 높은 비중을 차지했고, 영국과 프랑스, 독일이 각각 10%6%, 스페인과 이탈리아가 각각 5%로 그 뒤를 따랐다.

 

[그림 2] 2021년 7월 국가별 데이터 유출 비율

 

20217(7 1 ~ 7 31)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 기술/통신 분야가 가장 많은 공격을 받았고, 도소매업/전자상거래 분야 및 제조/공급 분야가 그 뒤를 따랐다.

 

[그림 3] 2021년 7월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

20217(71~ 731) 한 달간 랜섬웨어 동향을 조사한 결과, "Sodinokibi" 랜섬웨어가 스페인 통신 대기업 MasMovil과 스웨덴 슈퍼마켓 체인 기업인 Coop을 공격했으며 미국 앨라배마주 전기 협동조합인 Wiregrass Electric Cooperative가 랜섬웨어 공격을 받았다. 또한, 에콰도르의 국영 통신사 CNT와 남아프리카 공화국의 철도, 항만 및 파이프라인 회사인 Transnet SOC Ltd가 각각 "RansomEXX" 랜섬웨어와 "HelloKitty" 랜섬웨어의 공격을 받아 데이터가 유출된 사건이 있었다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

스페인 통신 대기업 MasMovil, Sodinokibi(=REvil) 랜섬웨어 피해 사례

지난 7월 초, 스페인의 통신 대기업 MasMovil이 사이버 공격을 받아 데이터를 탈취당했다. "Sodinokibi" 랜섬웨어 그룹은 자신들이 운영하는 데이터 유출 사이트에 게시한 탈취 데이터의 이미지 파일을 증거로 자신들이 공격했다고 주장하고 있다. MasMovil 측은 사이버 공격을 받았지만 랜섬웨어 공격과 관련된 내용은 발표하지 않아 관련 사항을 확인할 수가 없었다.

 

스웨덴 슈퍼마켓 체인점 Coop, Sodinokibi(=REvil) 랜섬웨어 피해 사례

스웨덴 슈퍼마켓 체인점인 Coop이 "Sodinokibi" 랜섬웨어의 공격을 받아 운영에 차질이 생겼다. 해당 기업은 원격 관리 및 모니터링 도구인 Kaseya VSA를 통한 대규모 공급망 공격으로 인해 금전 등록기가 작동하지 않아 5개 지역을 제외한 모든 매장을 폐쇄했다고 발표했다. 또한, Coop 측은 이번 공격이 자신들을 타겟으로 한 공격이 아니며 첫 번째 공격 목표가 된 공급 업체 Visma Esscom가 소매 업체인 Coop에 배송할 때 사용하는 Kaseya VSA를 통해 전파되었다고 밝혔다.

 

미국 앨리배마 주 전기 협동조합 Wiregrass Electric Cooperative, 랜섬웨어 피해 사례

미국 앨리배마 주의 전기 협동조합이 랜섬웨어 공격을 받아 운영에 차질을 빚었다. 피해 조합은 해당 공격이 다른 시스템으로 전파되는 것을 막기 위해 감염된 시스템을 종료했으며 조사를 통해 정확한 피해 규모를 확인하고 있다고 밝혔다. 또한, 공격 감지 후 초기 대응으로 인해 운영중인 40개의 서버 중 1개만 피해를 보았다고 발표했다.

 

에콰도르 국영 통신 기업 CNT, RansomEXX 랜섬웨어 피해 사례

에콰도르의 국영 통신 기업 CNT가 랜섬웨어 공격으로 인해 운영이 중단됐다. 사건 당시 CNT의 웹 사이트는 이용할 수 없었고, 고객 관리 및 온라인 결제 서비스를 이용할 수 없다는 경고 메시지를 띄웠다. 현재, CNT 측은 이번 공격에 대해 검찰에 고발했으며 기업 및 고객의 데이터가 탈취되지 않았다고 밝혔다. 또한, CNT는 공식적으로 랜섬웨어 공격을 받았다고 밝히지 않았지만 외신에서 CNT를 공격했다고 주장하는 "RansomEXX" 랜섬웨어의 랜섬노트를 발견했다고 발표했다.

 

남아프리카 공화국 대규모 철도, 항만 및 파이 라인 회사 Transnet SOC Ltd, HelloKitty 랜섬웨어 피해 사례

지난 7월 중순, 남아프리카 공화국의 Transnet SOC Ltd가 랜섬웨어 공격을 받아 모든 항만 터미널의 운영이 중단됐다. Transnet SOC Ltd 측은 공격 당시 사건에 대한 조사를 착수하여 공격의 출처를 파악했다고 밝혔으며 추후 공지가 있을 때까지 기업 이메일을 이용하지 말라고 공지했다. 7월 말경, 공공 기업부에서는 Transnet SOC Ltd의 모든 항만 터미널이 모든 시스템을 복원해 정상적으로 운영한다고 발표했으며 조사 결과 "HelloKitty" 랜섬웨어가 이번 공격의 배후에 있다고 알렸다.