동향 리포트/월간 동향 리포트

2022년 3월 랜섬웨어 동향 보고서

TACHYON & ISARC 2022. 4. 20. 13:30

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 49곳의 정보를 취합한 결과이다.

 

2022년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 72건으로 가장 많은 데이터 유출이 있었고, “Conti” 랜섬웨어가 68건으로 두번째로 많이 발생했다.

 

[그림 1] 2022년 3월 진단명별 데이터 유출 현황

 

2022년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 37%로 가장 높은 비중을 차지했고, 독일, 이탈리아 및 영국이 각각 7%, 캐나다가 5%로 그 뒤를 따랐다.

 

[그림 2] 2022년 3월 국가별 데이터 유출 비율

 

2022년 3월(3월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 도소매업/전자상거래 분야가 그 뒤를 따랐다.

 

[그림 3] 2022년 3월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2022년 3월(3월 1일 ~ 3월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 미국 타이어 제조 업체 Bridgestone Americas가 “LockBit” 랜섬웨어 공격을 받은 정황이 발견됐으며, 국내 대기업 및 미국 IT 업체 Microsoft가 “Lapsus$” 랜섬웨어 공격을 받은 사건이 있었다. 또한, 러시아 육류 업체 Miratorg Agribusiness Holdings와 국내 자동차 용품 제조 대기업이 각각 “BitLocker” 랜섬웨어와 “Cuba” 랜섬웨어 공격을 받았다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

미국 타이어 제조 업체 Bridgestone Americas, LockBit 랜섬웨어 피해 사례

최근 미국 타이어 제조업체 Bridgestone Americas가 사이버 공격을 받아 운영에 영향을 미쳤다. 외신은 피해 업체가 추가 피해를 방지하기 위해 다수의 제조 및 생산 시설의 네트워크를 분리했다는 내용을 전달했다. 또한, 해당 업체가 이번 보안 사고에 대한 조사를 진행 중이며 보안 업체 Accenture Security와 협력 중이라고 언급했다. 현재, “LockBit” 랜섬웨어 측은 자신들이 공격했다고 주장하며 직접 운영하는 데이터 유출 사이트에 피해 업체의 정보를 게시했다.

 

러시아 육류 업체 Miratorg Agribusiness Holding, BitLocker 랜섬웨어 피해 사례

지난 3월경, 러시아의 육류 업체 Miratorg Agribusiness Holding이 Windows BitLocker 암호화 공격을 당해 업무에 차질을 빚었다. 러시아의 농업 관련 기관 Rosselkhoznadzor은 공격자가 랜섬 머니를 요구하지 않았으며 공격의 목적이 방해 행위에 가깝다고 알렸다. 피해 업체는 시스템 복구를 위한 작업이 진행 중이며, 공급 및 배송에 영향이 없을 것이라는 내용의 성명을 발표했다.

 

국내 대기업, Lapsus$ 랜섬웨어 피해 사례

3월 말, 해킹 그룹 랩서스는 텔레그램을 통해 국내 대기업을 해킹했다고 밝히고, 8.3MB의 텍스트 파일을 첨부했다. 랩서스는 피해 업체의 직원 및 서비스 계정 해시를 전부 탈취했으며 1년 만에 두 번째 해킹을 성공했다고 강조했다. 또한, 피해 기업이 업무에서 사용하는 협업 툴의 데이터도 곧 공개할 것이라고 알렸다. 피해 업체 측은 이번 공격에 대해 확인한 결과 자사 임직원 중 일부 인원의 이메일 주소만 유출된 것으로 파악한다고 발표했다. 추가로 랩서스가 주장한 업체 비밀번호는 접속이 불가능한 값이고, 이번 사건은 개인정보 유출이 아니라고 언급했다.

 

미국 IT 업체 Microsoft, Lapsus$ 랜섬웨어 피해 사례

지난 3월 말, 미국의 IT 업체 Microsoft가 사이버 공격을 당해 데이터가 유출된 정황이 포착됐다. 외신에 따르면 해킹 그룹 랩서스가 피해 업체를 해킹했다고 주장하며 내부 프로젝트 소스코드가 포함된 압축 파일을 토렌트에 게시했다. 또한, 보안 연구원은 해당 해킹 그룹이 기업 내부자를 통해 액세스 권한을 얻은 후 사이버 공격을 시도했다고 언급했다. 현재, 피해 업체는 이번 사건을 조사 중이며 공유할 내용이 있을 경우 추후에 업데이트 하겠다고 발표했다.

 

국내 자동차 용품 제조 대기업, Cuba 랜섬웨어 피해 사례

국내 자동차 용품 제조 대기업이 사이버 공격을 받아 데이터가 유출된 사건이 있었다. “Cuba” 랜섬웨어 측은 자신들이 운영하는 데이터 유출 사이트에 피해 기업에서 탈취한 데이터의 다운로드 링크를 게시했다. 확인 결과, 탈취된 데이터에는 각종 금융 관련 서류, 통신 기록과 함께 기업의 소스코드가 포함돼 있다. 하지만 피해 업체 측은 “Cuba” 랜섬웨어 측이 게시한 데이터가 최신 자료가 아니거나 크게 중요하지 않은 자료일 가능성이 높다고 알렸다.