1. 랜섬웨어 피해 사례
2024년 3분기(7월 1일 ~ 9월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 락빗(LockBit)과 랜섬허브(RansomHub) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 7월에는 국내 종합 식품 업체 대상의 미국 법인이 랜섬허브의 공격을 받았고, 8월과 9월에는 캐나다 토론토의 교육 위원회와 미국 시애틀의 항만청이 각각 락빗과 리시다(Rhysida) 랜섬웨어 공격을 받아 피해가 발생했다.
락빗(LockBit) 랜섬웨어 피해 사례
락빗 랜섬웨어 조직은 2019년 말에 처음 등장해 전 세계를 대상으로 약 2,500개 이상의 기관을 공격한 것으로 추정되는 랜섬웨어 조직이다. 올해 1분기에 국제 법 집행 기관의 크로노스 작전(Operation Cronos)으로 인프라가 폐쇄됐으나 다른 사이트로 옮겨 활동을 재개해왔다. 3분기에는 조직의 관계자 두 명이 체포돼 미국 법원에서 락빗 랜섬웨어 공격에 여러 차례 가담한 사실을 인정한 소식이 전해졌다.
미국 병원 Fairfield Memorial Hospital 피해
7월 초, 락빗 랜섬웨어 조직에서 미국의 병원 Fairfield Memorial Hospital을 공격했다고 주장했다. 조직은 자신들이 운영하는 데이터 유출 사이트에 피해 병원의 게시글을 작성하면서 7월 17일에 데이터를 공개할 것이라고 언급했다. 이에 대해 피해 병원은 7월 초에 해당 소식을 홈페이지에 공지하며, 개인에게 미칠 영향의 범위를 파악하는 등의 조사를 진행 중이라고 전했다. 한편, 락빗 측의 사이트에서는 여전히 피해 병원의 게시글을 확인할 수 있다.
캐나다 토론토 교육 위원회 피해
캐나다 토론토의 교육 위원회에서 발생한 랜섬웨어 공격의 배후자라고 주장하는 조직이 등장했다. 피해 기관은 6월에 랜섬웨어 사고가 발생했음을 공지했으며, 피해 규모를 조사하고 있다고 전했다. 사고 발생 2개월 후, 2023학년도부터 등록된 학생의 이름과 생년월일 등 개인정보가 유출됐음을 추가로 공지했다. 한편, 락빗 랜섬웨어 조직은 운영하는 데이터 유출 사이트에 피해 기관의 글을 게시하면서 탈취한 데이터의 공개를 빌미로 랜섬머니를 요구했다. 현재는 조직의 사이트에서 피해 기관의 데이터가 공개된 것으로 확인된다.
랜섬허브(RansomHub) 랜섬웨어 피해 사례
랜섬허브 랜섬웨어 조직은 2024년 2월에 시작됐으며, 탈취한 데이터를 가장 높은 입찰자에게 판매하는 집단으로 알려졌다. 또한, 암호화 도구를 분석한 결과 이전에 키클롭스(Cyclops)라고도 알려졌던 나이트(Knight) 랜섬웨어 조직의 암호화 도구를 기반으로 한다고 전해졌다. 이에 대해 보안 업체들은 나이트 랜섬웨어 조직이 2024년 2월에 소스 코드를 판매했으며, 랜섬허브 랜섬웨어 조직이 시작할 때 폐쇄된 것을 근거로 리브랜딩이라고 추측하고 있다.
국내 종합 식품 업체 대상 미국 법인 피해
지난 7월 초, 국내 종합 식품 업체 대상의 미국 법인에서 사이버 공격을 받아 데이터가 유출된 정황이 공개됐다. 내신에 따르면 이번 공격으로 매매 계약서, 인보이스 및 상호기밀 계약서 등의 자료가 유출된 것으로 알려졌다. 이에 대해 피해 업체는 랜섬웨어 감염이 아닌 일부 업무 파일이 부적절하게 유출된 것으로 확인됐다며 사건 조사 결과를 전했다. 한편, 랜섬허브 랜섬웨어 조직 측은 자신들이 피해 업체를 공격해 정보를 탈취했다고 주장하며 직접 운영하는 사이트에 약 100GB에 달하는 데이터 모두를 게시했다.
미국 석유 및 가스 서비스 업체 Halliburton 피해
미국의 석유 및 가스 서비스 업체 Halliburton가 랜섬웨어 공격으로 IT 시스템과 사업 운영이 중단되었음을 밝혔다. 이로 인해 고객 송장 및 구매 주문서를 생성할 수 없었지만, 공격에 대해 자세한 내용을 공개하지 않아 고객들이 불만을 토로했다고 알려졌다. 공격 발생 이후 며칠 동안, 일부 SNS 사용자가 랜섬노트의 일부를 게시하면서 피해 업체가 랜섬허브 랜섬웨어 조직의 공격을 받았다고 주장했다. 이후, 외신에서 공격에 사용된 샘플 파일을 분석한 결과 랜섬허브 랜섬웨어 암호화 도구로 보이는 실행 파일이 포함된 것을 확인했다고 언급했다. 또한, 이전에 알려진 버전과 다른 새로운 명령어가 추가된 것을 근거로 새로운 버전으로 확인된다고 덧붙였다.
리시다(Rhysida) 랜섬웨어 피해 사례
2024년 3분기에는 리시다 랜섬웨어 조직이 대규모 조직을 표적으로 삼는 사례가 다수 발생했다. 최근에는 교육, 제조 등 다양한 분야에서 활발한 공격 활동을 보였다. 특히 미국 보건복지부(HHS)의 보안 공지에 따르면 최근 의료 기관을 표적으로 한 공격으로 미국 전역의 17개 병원과 166개 진료소에 영향을 미쳤다고 보고했다.
캐나다 마케팅 대행업체 MYC Media 피해
7월 초, 리시다 랜섬웨어 조직이 운영하는 데이터 유출 사이트에서 캐나다의 마케팅 대행업체 MYC Media의 글이 발견됐다. 해당 게시글에는 공격에 대한 자세한 내용을 공유하지는 않았지만 피해 업체에 7일 이내로 랜섬머니를 요구한 것이 확인됐다. 하지만 외신은 MYC Media의 공식 웹사이트는 정상적으로 운영되고 있으며, 피해 업체의 임원에게 연락했으나 검증할 수 없었다고 밝혔다. 한편, 현재는 해당 게시글에서 2.7TB에 달하는 전체 데이터가 공개된 것으로 보인다.
미국 요트 소매 업체 MarineMax 피해
미국의 요트 소매 업체 MarineMax에서 지난 3월에 있었던 사이버 보안 사고의 조사가 최근에 마무리됐다고 보고했다. 3월 중순, 피해 업체가 SEC에 제출한 서류에는 침해된 시스템에 민감한 데이터가 없다고 밝혔지만, 이후에 제출한 보고서에는 개인 데이터가 유출됐음을 밝혔다. 또한, 최근에는 해당 공격으로 약 12만 명이 영향을 받았으며 이름이나 다른 개인 식별 정보가 유출된 사실을 확인했다고 덧붙였다. 한편, 리시다 랜섬웨어 조직 측은 자신들이 공격했다고 주장하며 피해 업체 직원의 운전면허증과 여권의 스크린샷이 포함된 약 225GB의 데이터를 다크웹 유출 사이트에 게시했다.
미국 병원 Bayhealth 피해
8월 초, 미국의 병원 Bayhealth가 리시다 랜섬웨어 조직의 공격을 받은 정황이 발견됐다. 조직은 피해 업체에서 탈취한 데이터의 공개를 빌미로 7일 이내에 랜섬머니를 지불할 것을 요구했다. 또한, 데이터가 공개된 이후에는 단 한 사람에게만 판매할 것이라고 언급했다. 이 외에도 자신들이 공격했다는 증거로 환자의 여권 사진과 사회보장카드 및 내부 문서의 스크린샷을 공개한 것이 확인됐다. 현재는 조직의 데이터 유출 사이트에서 피해 병원의 게시글이 삭제된 것으로 보인다. 한편, 피해 병원은 해당 공격 이후 외부 시스템 연결을 재설정했으며 현재는 정상 운영되고 있다고 밝혔다.
2. 랜섬웨어 통계
2024년 3분기(7월 1일 ~ 9월 30일)에 활동이 많았던 랜섬웨어의 구글 트렌드 검색어 조사 결과 락빗(LockBit) 랜섬웨어가 가장 많이 검색됐다. 특히 락빗 랜섬웨어의 검색량이 최고치를 달성한 7월 1주차에는 미국의 병원 Fairfield Memorial Hospital 피해 사례가 있었다. 랜섬허브(RansomHub) 랜섬웨어가 가장 많은 검색량을 보여준 9월 1주차에는 미국의 의료 비영리 단체 Planned Parenthood 피해 사례가 있었다. 마지막으로 리시다(Rhysida) 랜섬웨어의 검색량이 가장 많은 9월 3주차에는 미국의 시애틀 항만청 피해 사례가 있었다.
다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 43곳의 정보를 취합한 결과이다. 2024년 3분기(7월 1일 ~ 9월 30일)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 8월에 데이터 유출이 가장 많이 발생했다.
2024년 3분기(7월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 국가별로 비교했을 때 미국이 53%로 가장 높은 비중을 차지했고, 캐나다가 7%, 영국이 5%로 그 뒤를 따랐다.
2024년 3분기(7월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 산업별로 비교했을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야가 그 다음으로 많은 공격을 받았다. 또한, 건설/부동산 분야가 그 뒤를 따랐다.
'동향 리포트 > 분기별 동향 리포트' 카테고리의 다른 글
| 3분기 국가별 해커그룹 동향 보고서 (3) | 2024.10.14 |
|---|---|
| 2024년 2분기 국가별 해커그룹 동향 보고서 (0) | 2024.07.15 |
| 2024년 2분기 랜섬웨어 동향 보고서 (0) | 2024.07.15 |
| 2024년 1분기 국가별 해커그룹 동향 보고서 (0) | 2024.04.18 |
| 2024년 1분기 랜섬웨어 동향 보고서 (0) | 2024.04.18 |