2022년 2분기 랜섬웨어 동향 보고서

1. 랜섬웨어 피해 사례

2022년 2분기(4월 1일 ~ 6월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “콘티(Conti)”, “락빗(LockBit)” 및 “바이스 소사이어티(Vice Society)” 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 4월에는 미국 모션 제어 기술 업체 Parker-Hannifin가 “콘티(Conti)” 랜섬웨어 공격을 받았고, 5월과 6월에는 유럽 전자도서관 앱 제공업체 EKZ와 이탈리아 팔레르모시가 각각 “락빗(LockBit)”과 “바이스 소사이어티(Vice Society)” 랜섬웨어 공격을 받아 피해가 발생했다.

 

[그림 1] 2022년 2분기 랜섬웨어 동향

 

콘티(Conti) 랜섬웨어 피해 사례

콘티(Conti) 랜섬웨어는 위자드 스파이더(Wizard Spider)라고 불리는 러시아 사이버 범죄 조직에 의해 운영되는 것으로 알려졌다. 해당 조직은 특정 업체를 공격해 파일을 암호화한 후 탈취한 정보의 유출을 빌미로 랜섬머니를 요구한다. 또한, 최근에는 Apache의 Log4j 제로데이 취약점인 CVE-2021-44228을 악용해 악성코드를 유포했다.

 

[그림 2] 2022년 2분기 Conti 랜섬웨어 피해 사례

 

미국 모션 제어 기술 업체 Parker-Hannifin 피해

미국의 모션 제어 기술 업체 Parker-Hannifin이 콘티 랜섬웨어 공격을 받아 정보가 유출됐다고 발표했다. 공격 당시 피해 업체는 공격과 관련된 시스템을 종료하는 등의 조치를 취했으며, 보안 전문가와 함께 사건을 조사한다고 알렸다. 또한, 내부 시스템에서 무단 접근된 파일의 이력을 확인해본 결과 직원 및 고객 개인 정보가 포함됐다고 밝혔다. 콘티 랜섬웨어 측은 자신들의 데이터 유출 사이트에 피해 업체에서 탈취한 데이터 419GB를 전부 공개하며 자신들이 공격에 가담했다고 주장했다.

 

독일 풍력 터빈 제조 업체 Nordex 피해

4월경, 독일의 풍력 터빈 제조 업체 Nordex가 사이버 공격을 받아 운영에 영향을 미쳤다. 피해 업체 측은 공격 당시 침입을 감지한 후, 관련된 IT 시스템을 폐쇄했다고 알렸다. 또한, 사건 조사 결과 공격이 내부 시스템에만 영향을 미쳤으며 고객들의 데이터는 탈취되지 않았다고 밝혔다. 콘티 랜섬웨어 측은 피해 업체를 공격했다고 주장하며 자신들이 운영하는 데이터 유출 사이트에 탈취한 데이터를 게시했다.

 

코스타리카 정부 기관 피해

지난 4월 말, 코스타리카 정부 기관이 랜섬웨어 공격을 받아 정부에서 운영 중인 인프라가 손상됐다. 외신은 이번 공격으로 인해 코스타리카의 재무, 노동부 등의 기관에서 시스템을 일시 중단했다고 언급했으며, 코스타리카 정부 측에서는 사이버 범죄자들에게 어떠한 대가도 지불하지 않을 것이라고 발표했다. 현재, 콘티 측은 피해 기관을 공격했다고 주장하며 자신들이 운영하는 데이터 유출 사이트에 탈취한 데이터를 공개했다.

 

락빗(LockBit) 랜섬웨어 피해 사례

락빗(LockBit) 랜섬웨어를 사용하는 조직이 버전 3를 출시했다. 새로운 버전의 락빗은 버그 바운티 프로그램을 적용해 락빗 랜섬웨어에 대한 버그를 신고하면 현상금을 지불한다고 대대적으로 홍보하고 있다. 또한, 랜섬머니 지불 옵션으로 Zcash 암호 화폐를 추가했으며 랜섬노트 이름을 변경하는 등의 변화를 줬다.

 

[그림 3] 2022년 2분기 LockBit 랜섬웨어 피해 사례

 

브라질 리우데자네이루 재무부 피해

지난 4월 말, 브라질의 리우데자네이루 재무부가 락빗 랜섬웨어 공격을 받아 정보가 유출됐다고 발표했다. 공격 당시, 피해 기관 측은 관련 수사 기관과 함께 이번 공격에 대해 조사를 진행하고 있다고 알렸다. 또한, 해당 기관은 락빗 측에서 브라질 디지털 범죄 수사 기관을 통해 랜섬머니를 요구했다고 밝혔다. 락빗 측은 피해 기관을 공격했다고 주장하며 탈취한 데이터 420GB를 자신들이 운영하는 데이터 유출 사이트에 게시했다.

 

미국 보안 업체 Mandiant 피해

외신이 락빗 랜섬웨어 측에서 운영하는 데이터 유출 사이트에 미국의 보안 업체 Mandiant가 추가됐다고 보도했다. 공격 당시, Mandiant는 락빗 랜섬웨어 측이 침해한 증거를 찾지 못했으며, 계속 모니터링 중이라고 언급했다. 락빗 랜섬웨어 측은 Mandiant에서 정보를 탈취했다고 주장하며 자신들의 데이터 유출 사이트에 게시했지만, 게시한 정보에는 Mandiant의 데이터가 포함돼 있지 않은 것으로 밝혀졌다.

 

일본 자동차 부품 제조 업체 TB Kawashima 피해

지난 6월 말, 일본 자동차 부품 제조업체 TB Kawashima의 자회사가 사이버 공격을 받아 운영에 영향을 미쳤다. 피해 업체는 이번 공격으로 인해 웹 사이트에 접속이 되지 않는 등의 문제가 발생했지만, 주요 시스템이 정상적으로 동작하고 있어 생산 및 판매에는 영향을 미치지 않았다고 밝혔다. 현재, 락빗 랜섬웨어 측은 자신들이 공격했다고 주장하며 데이터 유출 사이트에 피해 업체에서 탈취한 데이터를 게시했다.

 

바이스 소사이어티(Vice Society) 랜섬웨어 피해 사례

지난 3분기 경 등장한 바이스 소사이어티(Vice Society) 랜섬웨어가 최근에도 지속적으로 활동하고 있다. 해당 랜섬웨어 조직은 프린트 스풀러라는 서비스에서 발견된 제로데이 취약점인 프린트 나이트메어(PrintNightmare)를 악용해 공격 대상에게 접근한다. 이후, 공격 대상의 서버 및 PC의 파일을 암호화하고 탈취한 정보의 유출을 빌미로 랜섬머니를 요구한다.

 

[그림 4] 2022년 2분기 Vice Society 랜섬웨어 피해 사례

 

조지아 의료 업체 Atlanta Perinatal Associates 피해

지난 5월 중순, 조지아의 의료 업체 Atlanta Perinatal Associates가 사이버 공격을 받아 운영에 영향을 미쳤다. 외신에 따르면 피해 업체에서 유출된 정보에는 신용 카드 정보와 환자의 의료 기록 등의 개인 정보가 포함된 것으로 알려졌다. 바이스 소사이어티 측은 피해 업체를 공격했다고 주장하며 탈취한 정보를 자신들이 운영하는 데이터 유출 사이트에 게시했다.

 

이탈리아 팔레르모(Palermo)시 피해

지난 6월 초, 이탈리아 남부의 팔레르모(Palermo)시가 사이버 공격을 받아 운영 및 서비스에 영향을 미쳤다. 사건 당시 팔레르모시는 운영 중인 서비스와 온라인 포털 등 관련 시스템을 격리한 상태라 한동안 사용 제한이 지속될 수 있다고 알렸다. 또한, 이번 공격으로 인해 박물관과 극장 및 스포츠 시설에 대한 예매 등과 교통 규제 위반과 관련한 과태료 부과도 어렵다고 덧붙였다. 바이스 소사이어티 측은 자신들의 팔레르모시를 공격했다고 주장하며 탈취한 정보를 자신들이 운영하는 데이터 유출 사이트에 게시했다.

 

오스트리아 인스브루크 의과대학 피해

최근, 오스트리아의 인스브루크 의과대학에서 사이버 공격을 받아 데이터가 탈취된 정황이 발견됐다. 공격 당시 피해 기관은 온라인 서버 및 컴퓨터 시스템에 대한 접근을 제한하고 학생 및 직원의 계정 비밀번호를 재설정하는 등의 조치를 취했다. 그 후, 주기적으로 사건 및 서비스 제공과 관련된 정보를 공개했으며, 현재는 웹사이트 및 서비스의 상당 부분을 복구했다고 알렸다. 또한, 유출된 정보가 다크웹에 게시됐다는 신고를 받고 확인해본 결과 행정, 연구 문서 및 연락처 등의 정보를 확인했으며, 추가 정보가 확인되면 추후 공지하겠다고 언급했다.

 

2. 랜섬웨어 통계

2022년 2분기(4월 1일 ~ 6월 30일)에 활동이 많았던 랜섬웨어 TOP3의 구글 트렌드 검색어 조사 결과 콘티(Conti) 랜섬웨어가 가장 많이 검색됐다. 특히 콘티 랜섬웨어의 검색량이 높은 시기 중 4월 3주 차에는 독일의 풍력 터빈 제조 업체 Nordx의 피해사례가 있었다. 락빗(LockBit) 랜섬웨어의 검색량이 가장 높은 시기인 6월 5주 차에는 락빗 3.0을 출시하며 버그바운티 프로그램도 같이 시행한다고 밝혔고, 두 번째로 높은 시기인 6월 2주 차에는 미국의 보안 업체 Mandiant의 피해사례가 있었다. 하지만, 락빗 측에서 운영하는 데이터 유출 사이트에 게시된 정보에 Mandiant의 데이터가 포함돼 있지 않은 것으로 밝혀졌다. 마지막으로 바이스 소사이어티(Vice Society) 랜섬웨어는 6월 2주 차에 검색량이 일부 증가했는데 이 시기에는 이탈리아의 팔레르모시 피해사례가 있었다.

 

[그림 5] 구글 트렌드 - 분기별 랜섬웨어 관심도 비교

 

다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 41곳의 정보를 취합한 결과이다.

 

2022년 2분기(4월 1일 ~ 6월 30일)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 4월에 데이터 유출이 가장 많이 발생했다.

 

[그림 6] 2022년 2분기 월별 데이터 유출 현황

 

2022년 2분기(4월 1일 ~ 6월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 38%로 가장 높은 비중을 차지했고, 독일이 9%, 영국 및 이탈리아가 6%로 그 뒤를 따랐다.

 

[그림 7] 2022년 2분기 국가별 데이터 유출 비율

 

2022년 2분기(4월 1일 ~ 6월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 유통/무역/운송 분야 및 기술/통신 분야가 그 뒤를 따랐다.

 

[그림 8] 2022년 2분기 산업별 데이터 유출 현황