동향 리포트/분기별 동향 리포트

2021년 3분기 랜섬웨어 동향 보고서

알 수 없는 사용자 2021. 9. 30. 17:00

1. 랜섬웨어 피해 사례

20213분기(7 1 ~ 9 30) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 "소디노키비(Sodinokibi)", "락빗(LockBit)", "랜섬EXX(RansomEXX)" 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 7월에는 독일 화학 유통 업체 Brenntag이 "다크사이드(DarkSide)" 랜섬웨어 공격을 받았고, 8월과 9월에는 미국 통신 업체 SAC Wireless와 일본 광학 및 복사 제품 업체 Olympus가 각각 "콘티(Conti)"와 "블랙매터(BlackMatter)" 랜섬웨어 공격을 받아 피해가 발생했다.

 

[그림 1] 2021년 3분기 랜섬웨어 동향

 

소디노키비(Sodinokibi) 랜섬웨어 피해 사례

레빌(REvil)로도 불리는 소디노키비 랜섬웨어가 3분기에 미국의 IT 관리용 솔루션 제공 업체 카세야(Kaseya) VSA(Virtual System Administrator) 솔루션을 사용하는 MSP(Multiple Managed Service Provider)에 대한 공급망 랜섬웨어 공격을(Supply chain ransomware attack) 수행했다.

 

[그림 2] 2021년 3분기 Sodinokibi 랜섬웨어 피해 사례

 

미국 네바다 주 University Medical Center 피해

지난 7월 초 미국 네바다 주의 유니버시티 메디컬 센터(University Medical Center)가 사이버 공격을 받았다. 사건 당시 소디노키비 랜섬웨어 측은 자신들이 피해 업체를 공격했다고 주장하며 탈취한 데이터를 직접 운영 중인 데이터 유출 사이트에 게시했다. 피해 업체는 사건 조사 결과 데이터를 저장하는 서버에서 허용하지 않은 접속 기록을 확인했으며, 이로 인해 데이터 유출이 있었다고 발표했다. 또한, 고객들에게 개인 정보 유출 사실을 알리고 추가 피해를 방지하기 위한 모니터링 서비스를 제공할 것이라고 언급했다.

 

스웨덴 슈퍼마켓 체인 Coop 피해

스웨덴 슈퍼마켓 체인 Coop이 사이버 공격을 받아 매장 운영에 차질을 빚었다. 사건 직후 피해 업체는 자신들이 운영하는 웹사이트에 사이버 공격으로 인해 POS 시스템이 작동하지 않아 매장 운영을 일시 중단한다는 공지를 게시했다. 외신에서는 이번 공격에 대해 소디노키비 측이 Kaseya VSA 솔루션의 취약점을 악용해 공급망 랜섬웨어 공격을 수행했고, 이중 스웨덴 POS 시스템 관리 업체인 Visma Esscom가 공격을 받아 해당 업체의 제품을 사용하는 Coop가 영향을 받았다고 알렸다.

 

스페인 통신 업체 MasMovil 피해

지난 7월 중순 스페인 통신 업체 MasMovil이 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 소디노키비 측은 피해 업체를 공격했다고 주장하며 탈취한 데이터 일부의 스크린샷을 자신들이 운영하는 데이터 유출 사이트에 게시했다. 또한, 외신은 피해 업체가 랜섬웨어 공격을 받은 사실을 인정했다고 알렸지만 현재 사건과 관련해 피해 업체의 공식 발표는 확인되지 않았다.

 

(LockBit) 랜섬웨어 피해 사례

락빗(LockBit) 랜섬웨어를 사용하는 조직이 지난 6월에 버전 2를 출시했다. 새로 출시된 버전에서는 암호화 속도 등이 크게 향상됐으며, AD(Active Directory) 서버에서 랜섬웨어를 배포하거나 랜섬노트를 출력하는 기능 등이 추가됐다. 또한, 최근에는 Fortinet 운영체제인 FortiOS SSL VPN 웹 포털에서 발견된 CVE-2018-13379 등의 취약점을 악용해 건설, 제조, 소매 및 식품업 등의 업체를 공격했다.

 

[그림 3] 2021년 3분기 LockBit 랜섬웨어 피해 사례

 

글로벌 IT 컨설팅 업체 Accenture 피해

지난 8월 초, 글로벌 IT 컨설팅 업체 Accenture가 사이버 공격을 받았다. 사건 직후, 피해 업체 측은 자사 시스템에서 비정상적인 활동이 감지된 서버를 격리 조치했으며, 이후 영향을 받은 서버를 완전히 복원했다고 밝혔다. 또한, 운영이나 고객 시스템에는 영향이 없다고 알렸으며 정보 유출 등의 세부 내용은 공개하지 않았다. 이에 반해 락빗 측은 내부자를 통해 내부 시스템에 접근한 후 약 6TB의 데이터를 탈취했고, 피해 업체에게 파일 복구를 빌미로 5천만 달러의 랜섬머니를 요구했다고 주장했다.

 

국내 식품 업체 미국 법인 및 밀봉 기계 부품 생산 업체 피해

지난 8월 경, 국내 유명한 식품 업체의 미국 법인 및 밀봉 기계 부품 생산 업체가 랜섬웨어의 공격에 의해 데이터가 유출된 정황이 발견됐다. 락빗 측은 자신들이 피해 업체를 공격했다고 주장하며 탈취한 데이터를 직접 운영하는 데이터 유출 사이트에 게시했다. 현재, 두 기업 모두 공식적인 입장을 발표하지 않았지만 락빗 측에서 게시한 데이터에 개인정보 등이 포함돼있어 2차 피해에 대한 우려가 커지고 있다.

 

태국 방콕 항공사 피해

지난 8월 말, 태국의 항공사 Bangkok Airways가 사이버 공격을 받아 데이터가 유출됐다. 공격 직후 락빗 측은 자신들이 피해 기업을 공격했다고 주장하며 탈취한 데이터 약 103GB를 직접 운영하는 데이터 유출 사이트에 게시했다. 피해 기업 측은 태국 왕실 경찰 및 관련 당국과 함께 사건을 조사 중이며 여권 정보 등 개인 정보의 유출이 있었음을 확인했다고 발표했다. 추가로 데이터 유출 피해를 최소화하기 위해 고객들에게 유출된 신용카드 정보 및 비밀번호 등을 변경할 것을 권고했다.

 

랜섬EXX(RansomEXX) 랜섬웨어 피해 사례

"랜섬EXX(RansomEXX)" 랜섬웨어는 2018Defray라는 이름으로 처음 등장해 2020년에 "랜섬EXX(RansomEXX)" 라고 이름을 변경하고, 유명 업체들을 타겟으로 공격해 두각을 나타냈다. 또한, 기존 공격 대상인 윈도우 환경을 벗어나 리눅스 서버를 대상으로 공격하기 위해 리눅스 운영체제 용 버전을 제작 및 유포하며 공격 대상을 확대했다.

 

[그림 4] 2021년 3분기 랜섬EXX(RansomEXX) 랜섬웨어 피해 사례

 

에콰도르 국영 통신업체 CNT(Corporación Nacional de Telecomunicación) 피해

7월 초, 에콰도르 국영 통신업체 CNT가 사이버 공격을 받았다. 해당 공격으로 인해 피해 업체의 웹 사이트 접속이 제한됐고, 비즈니스 운영, 결제 웹 포털 및 고객 지원 서비스 등이 중단됐다. 이후, 피해 업체는 사건 관련 조사 결과 기업 및 고객 데이터가 유출되지 않았으며 사이버 범죄에 대해 검찰청에 고소장을 제출했다고 밝혔다. 이에 반해 "랜섬EXX(RansomEXX)" 측은 피해 업체를 공격했다고 주장하며 탈취한 데이터 약 190GB 중 일부를 직접 운영하는 데이터 유출 사이트에 스크린샷으로 게시했다.

 

이탈리아 라치오 시 피해

지난 8월 초, 이탈리아의 라치오 시가 랜섬웨어 공격을 받아 COVID-19 예방 접종 등록 포털 서비스를 포함한 모든 고객 서비스 업무에 차질을 빚었다. 피해 기관은 페이스북을 통해 시에서 운영하는 데이터 센터의 파일이 암호화됐고 관련 사건을 조사 중이라고 밝혔다. 또한, 백신 예약 시스템은 중단됐으나 페이스북(Facebook)을 사용해 지역 주민들에게 COVID-19 관련 상황을 전달하고 있으며, 현재 응급 네트워크 등 병원 시스템을 포함한 일부가 복원됐다고 언급했다.

 

대만 하드웨어 제조 업체 GIGABYTE 피해

지난 8월경, 대만의 하드웨어 제조 업체 GIGABYTE가 "랜섬EXX(RansomEXX)" 랜섬웨어 공격에 의해 약 112GB의 데이터를 탈취 당한 것으로 확인됐다. 외신은 해당 공격으로 피해 업체의 시스템이 중단돼 웹 사이트가 접속되지 않았으며 고객들의 불편 신고가 다수 접수됐다고 언급했다. 이에 대해 피해 업체는 시스템 중 일부가 영향을 받았으며 법 집행 기관에 알려 조사 중이라고 밝혔다.

 

2. 랜섬웨어 통계

20213분기(7 1 ~ 9 30)에 활동이 많았던 랜섬웨어 TOP3의 구글 트렌드 검색어 조사 결과 락빗 랜섬웨어가 가장 많이 검색됐다. 특히 락빗 랜섬웨어는 3분기 동안 국내 식품 제조업체 미국 법인과 태국 항공사 Bangkok Airways 등을 공격해 꾸준히 많은 검색량을 유지했다. 이 중, 검색량이 급격히 상승한 시기인 82주 차에는 글로벌 IT 컨설팅 기업 Accenture의 피해사례가 있었다. 소디노키비 랜섬웨어의 검색량이 상승한 시기인 7 1주 차에는 미국의 IT 관리용 솔루션 제공 업체 KaseyaVSA 솔루션을 사용한 공급망 랜섬웨어 공격이 있었다. 마지막으로 "랜섬EXX(RansomEXX)"81주차와 83주차에 검색량이 일부 증가했는데 이 시기에 이탈리아 라치오 시와 대만 하드웨어 제조 업체 GIGABYTE가 공격을 당한 것과 연관이 있는 것으로 추정된다.

 

[그림 5] 구글 트렌드 - 분기별 랜섬웨어 관심도 비교

 

다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 23곳의 정보를 취합한 결과이다.

 

20213분기(7 1 ~ 9 30)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 9월에 데이터 유출이 가장 많이 발생했고, 전체적으로 유출 건수가 증가하는 추이를 보였다.

 

[그림 6] 2021년 3분기 월별 데이터 유출 현황

 

20213분기(7 1 ~ 9 30)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 44%로 가장 높은 비중을 차지했고, 영국이 7%, 이탈리아와 독일이 5%로 그 뒤를 따랐다.

 

[그림 7] 2021년 3분기 국가별 데이터 유출 비율

 

20213분기(7 1 ~ 9 30)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야 및 도소매업/전자상거래 분야가 그 뒤를 따랐다.

 

[그림 8] 2021년 3분기 산업별 데이터 유출 현황