동향 리포트/월간 동향 리포트

2022년 10월 랜섬웨어 동향 보고서

TACHYON & ISARC 2022. 11. 4. 16:02

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다.

2022년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 73건으로 가장 많은 데이터 유출이 있었고, “BlackCat(AlphaV)” 랜섬웨어가 23건으로 두번째로 많이 발생했다.

 

[그림 1] 2022년 10월 진단명별 데이터 유출 현황

 

2022년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 32%로 가장 높은 비중을 차지했고, 프랑스가 7%, 영국 및 캐나다, 대만, 태국 등이 각각 5%로 그 뒤를 따랐다.

 

[그림 2] 2022년 10월 국가별 데이터 유출 비율

 

2022년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 및 도소매업/전자상거래 분야가 그 뒤를 따랐다.

 

[그림 3] 2022년 10월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2022년 10월(10월 1일 ~ 10월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 미국 의료 업체 CommonSpirit과 터키 출판 업체 Infomag가 랜섬웨어 공격을 받은 정황이 발견됐으며, 인도 전력 공급 업체 TATA Power가 “Hive” 랜섬웨어 공격을 받았다. 또한, 일본 공급 업체 Ohmiya가 “LockBit” 랜섬웨어 공격을 받았으며, 호주 보험 업체 Medibank가 랜섬웨어 공격을 받아 운영에 영향을 미친 사건이 있었다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

미국 의료 업체 CommonSpirit, 랜섬웨어 피해 사례

지난 10월 초, 미국의 의료 업체 CommonSpirit이 랜섬웨어 공격을 받아 서비스 운영에 차질을 빚었다. 이번 공격으로 인해 치료 및 수술이 지연됐고 일부 환자들은 진료를 다시 예약하는 등의 문제를 겪었다. 피해 업체는 공격 직후 내부 시스템을 보호하기 위한 조치로 온라인 환자 서비스 및 의료 기록 등 일부 시스템을 중단했다고 밝혔다. 현재, 피해 업체 측은 수사기관에 공격 사실을 통지했으며 중단된 시스템을 복구 중이라고 알렸다.

 

터키 출판 업체 Infomag, 랜섬웨어 피해 사례

터키의 출판 업체 Infomag가 랜섬웨어 공격을 받아 데이터가 유출된 정황이 발견됐다. 보안 업체 Cybernews의 조사 결과에 따르면, 해당 사건으로 인해 피해 업체에서 이메일, 이름, 비밀번호 등 15만 건 이상의 고객 데이터가 유출됐다고 밝혀졌다. 또한, 직원 계정의 패스워드 및 개인 정보 등 일부 데이터에 취약한 암호화 알고리즘이 적용돼 있어, 유출된 데이터가 악용될 가능성에 대해 언급했다. 현재, 공격자는 탈취한 데이터 유출을 빌미로 피해 업체에게 랜섬머니를 요구했다.

 

인도 전력 공급 업체 TATA Power, Hive 랜섬웨어 피해 사례

지난 10월 중순, 인도의 전력 공급 업체 TATA Power가 사이버 공격을 받아 운영에 영향을 미쳤다. 피해 업체는 공격 당시 일부 IT 시스템이 마비됐으나, 전력 공급 등의 서비스는 정상적으로 운영 중이라고 알렸다. 현재, “Hive” 측은 피해 업체를 공격했다고 주장하며 자신들이 운영하는 데이터 유출 사이트에 관련 정보를 게시했다. 유출 데이터에는 피해 업체 직원의 개인 식별 정보와 주민등록번호 및 카드 번호 등의 데이터가 포함됐다고 알려졌지만, 현재는 해당 데이터를 확인할 수 없는 상태이다.

 

일본 공급 업체 Ohmiya, LockBit 랜섬웨어 피해 사례

최근, 일본의 공급 업체 Ohmiya가 랜섬웨어 공격을 받아 데이터가 유출된 정황이 발견됐다. 공식 발표에 따르면, 피해 업체는 해당 공격이 물류 시스템 및 거래처 납품 등에는 영향을 끼치지 않았으며, 이후 내부 시스템을 점검하며 보안을 강화했다고 알렸다. LockBit 측은 직접 운영하는 데이터 유출 사이트를 통해 피해 업체를 공격했다고 주장했고, 정해진 기간 내에 랜섬머니를 지불하지 않으면 탈취한 데이터를 유출하겠다며 피해 업체를 협박했다. 현재, LockBit 데이터 유출 사이트에는 피해 업체의 것으로 주장하는 계정 정보와 탈취 데이터 목록 등이 공개돼 있다.

 

호주 보험 업체 Medibank, 랜섬웨어 피해 사례

지난 10월 말, 호주의 보험 업체 Medibank가 랜섬웨어 공격을 받아 고객들의 의료 보험 데이터가 유출됐다. 피해 업체는 공식 발표를 통해 내부 네트워크에서 비정상적인 활동을 감지하고 데이터 보호를 위해 고객 서비스를 포함한 일부 시스템을 종료했다고 알렸다. 또한, 공격자가 건강 보험 데이터와 보험증권 번호 등의 고객 데이터에 접근했다고 밝혔고, 이메일 및 SMS를 통해 고객들에게 해당 사실을 통지했다. 현재, 피해 업체는 정보 탈취를 주장하는 공격자로부터 연락을 받았지만, 자세한 내용은 알려지지 않았다.