2022년 09월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다.

2022년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 142건으로 가장 많은 데이터 유출이 있었고, “Hive” 랜섬웨어가 6건으로 두번째로 많이 발생했다.

 

[그림 1] 2022년 9월 진단명별 데이터 유출 현황

 

2022년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 27%로 가장 높은 비중을 차지했고, 프랑스가 12%, 이탈리아가 5%, 스페인, 영국 및 대만이 각각 4%로 그 뒤를 따랐다.

 

[그림 2] 2022년 9월 국가별 데이터 유출 비율

 

2022년 9월(9월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 의료/제약 및 정부/공공기관 분야가 그 뒤를 따랐다.

 

[그림 3] 2022년 9월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2022년 9월(9월 1일 ~ 9월 30일) 한 달간 랜섬웨어 동향을 조사한 결과, 미국 로스엔젤레스 교육부 Los Angeles Unified School District가 “Vice Society” 랜섬웨어 공격을 받은 정황이 발견됐으며, 캐나다 통신 업체 Bell Technical Solutions와 미국 경마 협회 New York Racing Association가 “Hive” 랜섬웨어 공격을 받았다. 또한, 이스라엘 방산 업체 Elbit System of America가 “Black Basta” 랜섬웨어 공격을 받았으며, 칠레 정부기관이 랜섬웨어 공격을 받아 운영에 영향을 미친 사건이 있었다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

칠레 정부 기관, 랜섬웨어 피해 사례

지난 9월 초, 칠레 정부 기관들이 랜섬웨어 공격을 받아 운영에 영향을 미쳤다. 이번 사건에 대해 칠레 국가침해대응센터는 피해 기관에서 운영하는 윈도우 서버와 VMWare ESXi 서버들이 주요 표적이 되고 있다고 언급했다. 또한, 해당 랜섬웨어가 가상 머신 관련 파일인 VMDK, VMSN, VMEM 등의 파일들을 암호화했다고 덧붙였다. 외신에 따르면, 공격자들이 탈취한 데이터를 빌미로 피해 기관에 랜섬머니를 요구한 것으로 알려졌다.

 

미국 로스엔젤레스 교육부 LAUSD(Los Angeles Unified School District), Vice Society 랜섬웨어 피해 사례

미국의 로스엔젤레스 교육부 LAUSD(Los Angeles Unified School District)가 랜섬웨어 공격을 받아 운영에 차질을 빚었다. 피해 기관은 주말 동안 이메일 서버와 내부 시스템을 대상으로 하는 랜섬웨어 공격을 받았다고 밝혔다. 또한, 이번 사건으로 인해 이메일과 학습관리 시스템에 접속하지 못할 수 있지만, 학교 일정은 정상적으로 운영된다고 언급했다. 현재, “Vice Society” 측은 자신들이 피해 업체를 공격했다고 주장하며 탈취한 데이터 500GB를 직접 운영하는 데이터 유출 사이트에 게시했다.

 

캐나다 통신 업체 BTS(Bell Technical Solutions), Hive 랜섬웨어 피해 사례

지난 9월 중순, 캐나다의 통신 업체 BTS(Bell Technical Solutions)가 랜섬웨어 공격을 받아 데이터가 유출된 정황이 발견됐다. 피해 업체는 공식 발표를 통해 공격자가 일부 고객의 주소 및 전화번호가 포함된 데이터에 접근한 사실을 확인했으며 해당 고객에게 통지할 것이라고 언급했다. 또한, 공격자가 고객들의 신용카드 정보와 은행 정보 같은 금융 정보에는 접근하지 않았다고 알렸다. “Hive” 랜섬웨어 측은 직접 운영하는 데이터 유출 사이트에 탈취한 데이터를 공개하며 자신들이 피해 업체를 공격했다고 주장했다.

 

미국 경마 협회 NYRA(New York Racing Association), Hive 랜섬웨어 피해 사례

지난 9월 말, 미국 뉴욕 주에 위치한 경마 협회 NYRA(New York Racing Association)가 사이버 공격을 받은 정황이 알려졌다. 피해 협회가 법무부에 전달한 보안 침해 문건에 따르면 사회 보장 번호와 건강 보험 정보 및 운전 면허 등의 회원 정보가 유출됐다고 밝혀졌다. 외신은 이번 사건이 경마 경기의 일정에는 영향을 미치지 않았지만, 피해 협회의 웹사이트는 아직 접속할 수 없다고 알렸다. 현재, “Hive” 랜섬웨어 측은 자신들이 피해 업체를 공격했다고 주장하며 탈취한 데이터를 직접 운영하는 데이터 유출 사이트에 공개했다.

 

이스라엘 방산 업체 Elbit Systems of America, BlackBasta 랜섬웨어 피해 사례

최근, 이스라엘 방산 업체 Elbit Systems의 자회사인 Elbit Systems of America가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 공격 직후, 피해 업체는 내부 시스템에서 비정상적인 활동을 발견해 즉각 네트워크를 폐쇄하고 시스템을 종료했다고 알렸다. 또한, 조사를 통해 특정 직원의 이름과 주소 및 사회 보장 번호 등의 개인정보가 탈취된 사실을 확인한 후 해당 직원에게 통지했다. “BlackBasta” 측은 자신들의 데이터 유출 사이트에 피해 업체의 감사 보고서 등을 공개하며 이번 공격이 자신들의 소행임을 주장했다.