2022년 1분기 랜섬웨어 동향 보고서

1. 랜섬웨어 피해 사례

2022년 1분기(1월 1일 ~ 3월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “콘티(Conti)”, “랩서스(Lapsus$)” 및 “블랙바이트(BlackByte)” 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 1월에는 대만의 전자 제품 공급 업체 Delta Electronics가 “콘티(Conti)” 랜섬웨어 공격을 받았고, 2월과 3월에는 미국 미식 축구팀 49ers와 미국 IT 업체 Okta가 각각 “블랙바이트(BlackByte)”와 “랩서스(Lapsus$)” 랜섬웨어 공격을 받아 피해가 발생했다.

 

[그림 1] 2022년 1분기 랜섬웨어 동향

 

콘티(Conti) 랜섬웨어 피해 사례

콘티(Conti) 랜섬웨어는 위자드 스파이더(Wizard Spider)라고 불리는 러시아 사이버 범죄 조직에 의해 운영되는 것으로 알려졌다. 해당 조직은 다수의 업체를 공격해 파일을 암호화한 후 탈취한 정보의 유출을 빌미로 랜섬머니를 요구했으며, 최근에는 Apache의 Log4j 제로데이 취약점인 CVE-2021-44228을 악용해 악성코드를 유포했다.

 

[그림 2] 2022년 1분기 Conti 랜섬웨어 피해 사례

 

인도네시아 금융 업체 Bank Indonesia 피해

지난 1월경, 인도네시아의 금융 업체 Bank Indonesia가 사이버 공격을 받아 운영에 차질을 빚었다. 외신은 피해 업체가 랜섬웨어 공격을 받아 데이터가 유출될 수 있어 조사가 필요하다고 언급했으며, 피해 업체 측은 공공 서비스 관련 시스템은 영향을 받지 않았다고 발표했다. 콘티 랜섬웨어 측은 피해 업체를 공격했다고 주장하며 탈취한 정보 중 일부를 자신들이 운영하는 데이터 유출 사이트에 게시했다.

 

미국 통합 서비스 업체 RR Donnelly 피해

미국의 통합 서비스 업체 RR Donnelly가 사이버 공격으로 인해 데이터를 탈취당했다. 공격 당시 피해 업체는 온라인 서비스 운영과 내부 업무를 중단했으며 이번 사이버 공격에 대해 알지 못했다고 발표했다. 콘티 랜섬웨어 그룹은 피해 업체에서 탈취한 것으로 의심되는 2.5GB의 데이터를 자신들이 운영하는 데이터 유출 사이트에 게시했다. 추후에 피해 업체 측은 데이터 공개를 방지하기 위한 추가 협상을 진행 중에 있으며, 콘티 랜섬웨어 그룹이 곧 공개적으로 피해 업체 에서 탈취한 데이터를 삭제할 것이라고 알렸다.

 

영국 스낵 가공 업체 KP Snacks 피해

영국의 스낵 가공 업체인 KP Snacks는 사이버 공격을 받아 영업에 영향을 미쳤다. 이번 공격으로 인해 피해 업체는 주요 대형 매장으로의 배송이 지연되거나 전면 취소되었으며 이러한 공급 장애 문제가 장기화 되는 문제에 대해 사과했다. 콘티 랜섬웨어 측은 피해 업체를 공격했다고 주장하며 탈취한 정보 중 일부를 자신들이 운영하는 데이터 유출 사이트에 게시했다.

 

랩서스(Lapsus$) 랜섬웨어 피해 사례

2021년 5월 처음으로 등장한 랩서스(Lapsus$) 랜섬웨어 조직은 2021년 12월부터 텔레그램에 독립적인 채널을 생성한 후 홍보를 통해 널리 알려졌다. 해당 랜섬웨어는 최근 글로벌 대기업의 가상 사설망(VPN)과 다단계 인증(MFA)을 우회하는데 집중됐고, 기업 내부 직원을 통해 접속 ID를 구매한 후 기업 내부 시스템에 침투하여 데이터를 탈취한다.

 

[그림 3] 2022년 1분기 Lapsus$ 랜섬웨어 피해 사례

 

포르투갈 출판 업체 Impresa 피해

포르투갈 출판 업체 Impresa가 사이버 공격을 받아 운영에 영향을 받았다. 외신은 랩서스 측이 피해 업체를 공격한 후 생성한 랜섬노트에서 Amazon Web Services 계정에 접근할 수 있다는 등의 내용이 작성됐다고 알렸다. 현재, 피해 업체는 Amazon 계정에 대한 통제권을 되찾았다고 주장하지만, 랩서스 측에서 해당 인프라에 접근 할 수 있다는 내용을 게시했다.

 

국내 대기업 피해

3월 말, 랩서스 랜섬웨어 조직은 텔레그램을 통해 국내 대기업을 해킹했다고 밝히고, 8.3MB의 텍스트 파일을 첨부했다. 랩서스 측은 피해 업체 직원의 계정 정보를 전부 탈취했으며 1년 만에 두 번째 해킹을 성공했다고 강조했다. 또한, 피해 기업이 업무에서 사용하는 협업 툴의 데이터도 곧 공개할 것이라고 알렸다. 피해 업체 측은 이번 공격에 대해 확인한 결과 자사 임직원 중 일부 인원의 이메일 주소만 유출된 것으로 파악한다고 발표했다. 추가로 랩서스 측이 주장하는 비밀번호는 접속이 불가능한 값이고, 이번 사건은 개인정보 유출이 아니라고 언급했다.

 

미국 IT 업체 Microsoft 피해

지난 3월 말, 미국의 IT 업체 Microsoft가 사이버 공격을 당해 데이터가 유출된 정황이 포착됐다. 외신에 따르면 랩서스 랜섬웨어 조직이 피해 업체를 해킹했다고 주장하며 내부 프로젝트의 소스코드가 포함된 압축 파일을 토렌트에 게시했다. 또한, 보안 연구원은 해당 해킹 그룹이 기업 내부자를 통해 액세스 권한을 얻은 후 사이버 공격을 시도했다고 언급했다. 현재, 피해 업체는 이번 사건을 조사 중이며 공유할 내용이 있을 경우 추후에 업데이트 하겠다고 발표했다.

 

미국 IT 업체 Okta 피해

지난 1월경, 미국 IT 업체 Okta가 랜섬웨어 공격을 받았다. 3월 말, 피해 업체는 랜섬웨어 공격과 관련한 조사가 완료됐다고 알렸으며 공격자가 고객 지원 엔지니어의 노트북에 5일 동안 접근을 시도했다고 언급했다. 또한, 피해 업체의 침투 경로가 된 엔지니어의 계정 권한이 제한돼 데이터베이스 접근은 어려울 것이라고 발표했지만 랩서스 측은 피해 업체에서 탈취한 정보 일부를 자신들이 운영하는 데이터 유출 사이트에 게시했다.

 

블랙바이트(BlackByte) 랜섬웨어 피해 사례

지난 3분기 경 등장한 블랙바이트(BlackByte) 랜섬웨어가 1분기에도 꾸준한 활동량을 보이고 있다. 해당 랜섬웨어는 지난 10월, 보안 업체 Trustwave에 의해 디크립터가 제작된 적이 있으며, FBI에서는 블랙바이트 랜섬웨어 조직이 미국의 핵심 인프라 분야의 업체를 공격해 주의가 필요하다는 경고 글을 발표한 이슈가 있었다. 

 

[그림 4] 2022년 1분기 BlackByte 랜섬웨어 피해 사례

 

미국 미식 축구팀 49ers 피해

지난 2월 중순, 미국의 미식 축구팀인 49ers가 사이버 공격을 받아 운영에 영향을 미쳤다. 외신은 이번 공격으로 피해를 본 49ers가 보안 업체 및 국가 수사 기관과 협력해 관련 사건을 조사 중이라고 알렸다. 또한, 49ers 측에서 관련 시스템을 빠르고 안전하게 복원 중이라고 언급한 내용을 전했다. 블랙바이트 랜섬웨어 측은 피해 업체에서 재무 관련 자료 등을 탈취했다고 주장하며 자신들이 운영하는 데이터 유출 사이트에 게시했다.

 

일본 전자상거래 업체 Mizuno 피해

일본의 전자상거래 업체 Mizuno가 사이버 공격을 받았다. 외신은 피해 업체가 사이버 공격을 받은 후, 웹 사이트에 시스템 문제가 발생했다는 내용의 공지를 띄웠다고 알렸다. 또한, 피해 업체를 통한 주문 등도 정상적으로 진행되지 않았다고 전했다. 외신은 이번 사건의 주체가 미국의 49ers를 공격한 블랙바이트 랜섬웨어 측과 관련됐을 것으로 추정하고 있으며, 아직까지 피해 업체는 해당 사건에 대한 정보를 제공하지 않고 있다.

 

2. 랜섬웨어 통계

2022년 1분기(1월 1일 ~ 3월 31일)에 활동이 많았던 랜섬웨어 TOP3의 구글 트렌드 검색어 조사 결과 콘티(Conti) 랜섬웨어가 가장 많이 검색됐다. 특히 콘티 랜섬웨어의 검색량이 가장 높은 시기인 3월 1주차에는 한 우크라이나 연구원이 콘티 랜섬웨어와 관련 정보를 유출한 이슈가 있었다. 랩서스 랜섬웨어는 1분기에 등장한 신종 랜섬웨어로 국•내외 유명 업체를 공격했다. 이 중, 검색량이 가장 높은 시기인 3월 4주 차에는 국내 대기업, 미국의 IT 업체 Okta 및 Microsoft의 피해사례가 있었다. 마지막으로 블랙바이트(BlackByte) 랜섬웨어는 2월 3주차에 검색량이 일부 증가했는데 이 시기에는 미국의 미식 축구 팀인 49ers의 피해사례가 있었고, 미국 연방수사국(FBI)에서 블랙바이트 랜섬웨어와 관련한 보고서를 발표한 이슈가 있었다.

 

[그림 5] 구글 트렌드 - 분기별 랜섬웨어 관심도 비교

 

다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 49곳의 정보를 취합한 결과이다.

 

2022년 1분기(1월 1일 ~ 3월 31일)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 3월에 데이터 유출이 가장 많이 발생했다. 

 

[그림 6] 2022년 1분기 월별 데이터 유출 현황

 

2022년 1분기(1월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 38%로 가장 높은 비중을 차지했고, 이탈리아가 8%, 영국이 7%로 그 뒤를 따랐다.

 

[그림 7] 2022년 1분기 국가별 데이터 유출 비율

 

2022년 1분기(1월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야 및 도소매업/전자상거래 분야가 그 뒤를 따랐다.

 

[그림 8] 2022년 1분기 산업별 데이터 유출 현황