1. 랜섬웨어 피해 사례
2024년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 랜섬허브(RansomHub)와 나이트로즌(Nitrogen) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 10월에는 캐나다의 비디오 게임 개발 업체 Red Barrels가 나이트로즌의 공격을 받았고, 11월과 12월에는 멕시코 정부와 영국의 모바일 통신 서비스 제공 업체 BT Group이 랜섬허브와 블랙바스타(BlackBasta) 랜섬웨어 공격을 받아 피해가 발생했다.
블랙바스타(BlackBasta) 랜섬웨어 피해 사례
2024년 4분기에는 블랙바스타 랜섬웨어 조직의 공격으로 피해 업체의 운영이 중단되는 등의 피해 사례가 발생했다. 외신은 해당 조직이 2022년 4월부터 서비스형 랜섬웨어(RaaS) 작전을 수행했으며, 의료 업체와 정부 계약 업체를 포함해 전 세계의 많은 유명 인사를 공격했다고 전했다. 또한, 5월부터 11월까지 약 500개 이상의 피해 사례가 발생했으며, 이 중 90개 이상의 사례에서 최소 1억 달러의 랜섬머니를 받았다고 알렸다.
영국 모바일 통신 서비스 제공 업체 BT Group 피해
12월 초, 영국의 모바일 통신 서비스 제공 업체 BT Group의 BT Conferencing 사업부에서 랜섬웨어 공격으로 일부 서버를 폐쇄한 정황을 밝혔다. 피해 업체는 운영이나 서비스에는 영향을 미치지 않아 시스템이 암호화된 것인지, 데이터만 도난당했는지 불확실하다고 언급했다. 또한, 공격자가 플랫폼을 공격하려는 시도만 있었다고 밝히며 영향을 받은 서버의 서비스 운영을 중단했다고 덧붙였다. 한편, 블랙바스타 랜섬웨어 조직 측은 자신들이 피해 업체를 공격해 재무 및 내부 문서 등 약 500GB에 달하는 데이터를 탈취했다고 주장했다. 이에 대한 근거로 데이터 폴더 목록과 스크린샷 일부를 다크웹 사이트에 함께 게시한 것이 확인된다.
미국 비영리 의료 단체 Ascension 피해
미국 비영리 의료 단체 Ascension에서 지난 5월에 발생한 랜섬웨어 사고로 개인정보가 유출된 정황을 전했다. 피해 단체는 사고 발생 당시에 시스템에서 비정상적인 활동을 감지해 운영을 중단하고 조사 기관에 신고하면서 대응한 것으로 알려졌다. 또한, 지난 2분기 동향 보고서에도 언급했다시피, 사고 당시에 블랙바스타 랜섬웨어 조직이 배후로 추정된다는 외신의 주장이 있었다. 현재 추가로 조사된 바로는 직원과 환자의 개인정보 외에도 의료 정보가 기록된 파일 사본이 유출된 증거를 발견했다고 덧붙였다. 한편, 블랙바스타 조직의 데이터 유출 사이트에서는 현재 피해 단체의 글이 확인되지 않는다.
2024.07.15 - 2024년 2분기 랜섬웨어 동향 보고서
나이트로즌(Nitrogen) 랜섬웨어 피해 사례
나이트로즌 랜섬웨어는 2023년 중반에 처음 등장했으며, 악성 광고를 이용해 랜섬웨어를 유포하는 특징이 있다고 알려졌다. 특히 합법적인 소프트웨어 공급 업체로 위장해 손상된 프로그램을 제공하는 피싱 사이트를 만들어 사용자가 다운로드하도록 유도한다고 전해졌다.
캐나다 비디오 게임 개발 업체 Red Barrels
10월 초, 캐나다의 비디오 게임 개발 업체 Red Barrels를 공격했다고 주장하는 랜섬웨어 조직이 등장했다. 해당 조직은 나이트로즌 랜섬웨어로 밝혀졌으며, 피해 업체에서 1.8TB에 달하는 데이터를 탈취했다는 글을 다크웹에 게시한 것으로 알려졌다. 공격 당시에 피해 업체 측은 시스템이 영향을 받아 게임 개발과 업데이트 및 새로운 콘텐츠 제공에 지연이 있을 것이라고 안내했다. 또한, 공격자가 게임 소스 코드나 스튜디오에 영향을 줄 만한 프로젝트와 자산을 탈취했는지는 불확실하다고 언급했다. 한편, 조직의 데이터 유출 사이트에 게시된 글에는 내부 문서와 게임 도면 등의 샘플 파일이 확인되며, 현재는 전체 데이터가 공개된 것으로 보인다.
미국 연방 신용 조합 SRP 피해
나이트로즌 랜섬웨어 조직에서 미국의 연방 신용 조합 SRP를 공격했다고 주장했다. 조직은 피해 조합에서 이름과 사회보장번호를 포함해 650GB에 달하는 회원 정보를 탈취했다고 전했다. 한편, 피해 조합 측은 해당 공격 상황을 조사해 지난 9월부터 11월 사이에 공격자가 내부 시스템에 접속한 이력을 확인한 것으로 알려졌다. 또한, 이름과 신분증 정보 및 금융 정보 등이 유출됐으나, 온라인 뱅킹이나 핵심 처리 시스템에는 영향을 미치지 않은 것으로 전해졌다. 이에 대한 게시글은 현재까지도 나이트로즌 조직의 데이터 유출 사이트에서 피해 조합의 글을 확인할 수 있다.
랜섬허브(RansomHub) 랜섬웨어 피해 사례
랜섬허브 랜섬웨어 조직은 2024년 1분기에 등장했으며 1년도 안 되는 기간에 피해 사례가 다수 발생했다. 특히 4분기에는 해외뿐만 아니라 국내 피해 사례도 발견됐으며, 현재 가장 활발하게 활동하는 랜섬웨어 조직으로 알려졌다. 한편, 비영리단체나 독립 국가 연합(CIS)과 같은 특정 국가는 공격하지 않는다고 전해졌다.
멕시코 공항 운영 업체 Grupo Aeroportuario del Centro Norte(OMA) 피해
지난 10월 중순, 멕시코의 공항 운영 업체 Grupo Aeroportuario del Centro Norte(OMA)에서 사이버 보안 사고가 발생한 정황을 공지했다. 피해 업체는 해당 사고를 확인해 대체 시스템과 백업 시스템을 운영했으며 포렌식 조사를 진행하고 있다고 안내했다. 이에 대해 랜섬허브 조직 측에서 자신들의 소행이라고 주장하는 글을 데이터 유출 사이트에 게시한 소식이 전해졌다. 해당 게시글에는 3TB에 달하는 데이터를 탈취했으며, 투자 보고서와 직원 및 고객 정보 등이 포함됐다고 언급했다. 한편, 랜섬허브 조직에서 피해 업체에 데이터 공개를 빌미로 랜섬머니를 요구한 것으로 알려졌으며, 현재는 데이터가 공개된 것으로 확인된다.
멕시코 정부 피해
11월 말, 랜섬허브 조직에서 멕시코 정부의 사무실을 공격해 313GB에 달하는 데이터를 탈취했다고 주장했다. 해당 데이터에는 계약서와 보험 및 재무 문서 등이 포함됐다고 언급하며 이에 대한 근거로 정부 직원의 개인정보가 담긴 데이터베이스 일부를 샘플로 공개한 것으로 알려졌다. 또한, 조직 측은 피해 정부에 탈취한 데이터 공개를 빌미로 10일 안에 랜섬머니를 지불할 것을 요구한 소식이 전해졌다. 한편, 멕시코 정부 측은 해당 내용을 인지하고 조사하고 있다는 상황을 밝힌 후 추가로 전해진 소식은 없는 것으로 확인된다.
2. 랜섬웨어 통계
2024년 4분기(10월 1일 ~ 12월 31일)에 활동이 많았던 랜섬웨어의 구글 트렌드 검색어 조사 결과 락빗(LockBit) 랜섬웨어가 가장 많이 검색됐다. 특히 락빗 랜섬웨어의 검색량이 최고치를 달성한 10월 1주차에는 오스트레일리아의 요양 시설 TPG Aged Care 피해 사례가 있었다. 랜섬허브(RansomHub) 랜섬웨어가 가장 많은 검색량을 보여준 11월 4주차에는 이탈리아의 축구팀 볼로냐 FC 1909 피해 사례가 있었다. 마지막으로 아이엔씨(Inc) 랜섬웨어의 검색량이 가장 많은 11월 2주차에는 영국의 어린이 병원 Alder Hey Children's Hospital Trust 피해 사례가 있었다.
다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 46곳의 정보를 취합한 결과이다. 2024년 4분기(10월 1일 ~ 12월 31일)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 11월에 데이터 유출이 가장 많이 발생했다.
2024년 4분기(10월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 국가별로 비교했을 때 미국이 57%로 가장 높은 비중을 차지했고, 캐나다가 6%로 그 뒤를 따랐다.
2024년 4분기(10월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 산업별로 비교했을 때 제조/공급 분야가 가장 많은 공격을 받았고, 건설/부동산 분야가 그 다음으로 많은 공격을 받았다. 또한, 기술/통신 분야가 그 뒤를 따랐다.
'동향 리포트 > 분기별 동향 리포트' 카테고리의 다른 글
| 2024년 4분기 국가별 해커그룹 동향 보고서 (0) | 2025.01.14 |
|---|---|
| 3분기 국가별 해커그룹 동향 보고서 (4) | 2024.10.14 |
| 2024년 3분기 랜섬웨어 동향 보고서 (3) | 2024.10.14 |
| 2024년 2분기 국가별 해커그룹 동향 보고서 (0) | 2024.07.15 |
| 2024년 2분기 랜섬웨어 동향 보고서 (0) | 2024.07.15 |