2024년 09월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 31곳의 정보를 취합한 결과이다.

2024년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “RansomHub” 랜섬웨어가 68건으로 가장 많은 데이터 유출이 있었고, “Play” 랜섬웨어와 “LockBit” 랜섬웨어가 각각 37건과 20건의 유출 사례를 기록했다.

 

[그림  1] 2024 년  9 월 진단명별 데이터 유출 현황

 

2024년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 52%로 가장 높은 비중을 차지했고, 캐나다와 영국이 각각 7%와 6%로 그 뒤를 따랐다.

 

[그림  2] 2024 년  9 월 국가별 데이터 유출 비율

 

2024년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 건설/부동산 분야와 기술/통신 분야가 그 뒤를 따랐다.

 

[그림  3] 2024 년  9 월 산업별 데이터 유출 현황

 

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2024년 9월(9월 1일 ~ 9월 30일) 한 달간 랜섬웨어 동향을 조사한 결과, 국내 정보 통신 컨설팅 업체 커브가 "Eldorado" 랜섬웨어의 공격을 받은 소식이 전해졌다. 또한, 미국의 반도체 제조 업체 Microchip Technology Incorporated와 캐나다의 자동차 대리점 AutoCanada가 8월에 각각 "Play"와 "Hunters International" 랜섬웨어 공격을 받은 정황이 알려졌다. 한편, 미국의 비영리 의료 단체 Planned Parenthood와 미국의 시애틀 항만청은 각각 "RansomHub"와 "Rhysida" 랜섬웨어의 공격으로 데이터가 유출된 정황이 발견됐다.

 

[그림  4]  국내 / 외 랜섬웨어 피해 타임라인

 

국내 정보 통신 컨설팅 업체 커브, Eldorado 랜섬웨어 피해

9월 초, "Eldorado" 랜섬웨어 조직이 국내 정보 통신 컨설팅 업체 커브를 공격했다고 주장했다. 이에 대해 피해 업체에서 시험용으로 사용하던 윈도우의 보안 프로그램 업그레이드가 누락돼 랜섬웨어 공격을 받은 것으로 추정된다는 소식이 전해졌다. 또한, 조직이 유출된 데이터의 공개를 빌미로 금전 요구를 했으나, 피해 업체 측에서 시험용 데이터라는 이유로 응하지 않아 다크웹에 글이 게시된 것으로 알려졌다. 피해 업체 측은 실제 업무가 클라우드 기반으로 운영돼 피해가 없었으며, 현재는 한국인터넷진흥원에 랜섬웨어 감염 사실을 신고하고 조사를 진행 중이라는 입장을 전했다. 한편, "Eldorado" 랜섬웨어 조직의 데이터 유출 사이트에서는 피해 업체의 글이 게시된 상태로 확인된다.

 

미국 반도체 제조 업체 Microchip Technology Incorporated, Play 랜섬웨어 피해

미국의 반도체 제조 업체 Microchip Technology Incorporated에서 사이버 공격으로 데이터가 유출된 사실을 전했다. 피해 업체는 8월 중순에 공격받아 여러 제조 시설의 운영을 종료하고 조사를 진행한 것으로 알려졌다. 이후, 피해 업체의 내부 정보와 직원 개인정보 및 특정 업체의 정보가 유출됐을 가능성을 확인했다고 전했다. 한편, "Play" 측은 자신들이 피해 업체를 공격했다고 주장하면서 데이터 유출 사이트에 글을 게시해 현재까지도 확인할 수 있다.

 

미국 비영리 의료 단체 Planned Parenthood, RansomHub 랜섬웨어 피해

미국의 비영리 의료 단체 Planned Parenthood가 "RansomHub" 랜섬웨어 조직의 공격을 받은 정황이 발견됐다. 조직은 데이터 유출 사이트에 피해 단체를 공격해 93GB에 달하는 데이터를 탈취했다고 주장하며 일주일 안으로 공개할 예정이라고 전했다. 또한, 탈취한 데이터의 샘플 파일로 행정과 법무 및 재무 관련 문서를 공개했다. 한편, 피해 단체에서는 공격 사실을 인지하고 조사를 진행 중인 것으로 알려졌다. 현재는 "RansomHub"에서 운영하는 다크웹 사이트에 피해 단체의 데이터가 공개된 것으로 확인된다.

 

미국 시애틀 항만청, Rhysida 랜섬웨어 피해

9월 중순, 미국의 정부 기관 시애틀 항만청에서 사이버 공격으로 시스템 운영에 영향을 미친 정황을 공지했다. 피해 기관은 8월 말에 해당 공격이 발생해 수하물, 체크인 키오스크 및 티켓 판매 등의 일부 시스템이 중단됐다고 언급했다. 이로 인해 시애틀-타코마 국제공항의 예약 체크인 시스템 또한 중단됐으며, 항공편이 지연되는 사태가 발생했다고 밝혔다. 한편, 공격 발생 3주 후에 항만 당국은 "Rhysida" 랜섬웨어 조직의 공격임을 확인했으나 조직 측의 복호화 비용 지불 요구에 응하지 않을 것이라고 전했다. 현재는 조직의 데이터 유출 사이트에 등록된 피해 기관의 게시글에서 일부 데이터가 공개된 것으로 확인된다.

 

캐나다 자동차 대리점 AutoCanada, Hunters International 랜섬웨어 피해

9월 말, "Hunters International" 조직에서 캐나다의 자동차 대리점 AutoCanada를 공격했다고 주장했다. 조직은 지난 8월에 피해 업체를 공격해 재무 문서 등이 포함된 테라바이트 단위의 데이터를 탈취했다고 전했다. 또한, 탈취한 데이터에는 직원의 이름과 급여 정보 및 사회보장번호 등의 개인정보도 포함됐다고 덧붙였다. 한편, 피해 업체 측은 해당 공격으로 일부 서비스 업무가 지연되는 등의 피해가 발생했음을 알렸다. 현재는 해당 사건의 조사와 암호화된 정보 복원 작업을 진행 중이라고 전하면서 홈페이지에 사건 관련 F&A를 제공하고 있다.