동향 리포트/월간 동향 리포트

2022년 12월 랜섬웨어 동향 보고서

TACHYON & ISARC 2023. 1. 3. 17:20

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다.

2022년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 53건으로 가장 많은 데이터 유출이 있었고, “Hive” 랜섬웨어가 16건으로 두번째로 많이 발생했다.

 

[그림 1] 2022년 12월 진단명별 데이터 유출 현황

 

2022년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 31%로 가장 높은 비중을 차지했고, 프랑스와 영국이 6%, 캐나다가 5%로 그 뒤를 따랐다.

 

[그림 2] 2022년 12월 국가별 데이터 유출 비율

 

2022년 12월(12월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 교육 서비스 및 기술/통신 분야가 그 뒤를 따랐다.

 

[그림 3] 2022년 12월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2022년 12월(12월 1일 ~ 12월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 벨기에 도시 Antwerp와 독일 숙박 업체 H-Hotels가 “Play” 랜섬웨어 공격을 받은 정황이 발견됐으며, 미국 캘리포니아 주의 재무부가 “LockBit” 랜섬웨어 공격을 받았다. 또한, 콜롬비아 에너지 공급 업체 EPM이 “BlackCat” 랜섬웨어 공격을 받았으며, 미국 의료 업체 LCMHS가 “Hive” 랜섬웨어 공격을 받아 데이터가 유출된 사건이 있었다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

벨기에 도시 앤트워프(Antwerp), Play 랜섬웨어 피해 사례

최근, 벨기에의 앤트워프(Antwerp) 시가 사이버 공격으로 인해 일부 시스템이 마비됐다. 외신에 따르면, 공격자가 앤트워프 시의 IT 시스템을 관리하는 업체 Digipolis를 공격했으며, 해당 업체의 전화 및 이메일 서비스를 사용 중이던 앤트워프 시의 경찰과 시청 등의 기관들이 서비스 이용에 차질을 빚은 것으로 알려졌다. “Play” 측은 자신들이 운영하는 데이터 유출 사이트에서 피해 기관에 대한 공격을 주장하며 관련 데이터 557GB 중 여권, 금융 정보 등을 포함한 일부를 공개했다.

 

독일 숙박 업체 H-Hotels, Play 랜섬웨어 피해 사례

독일의 숙박 업체 H-Hotels가 사이버 공격을 받아 서비스 운영에 영향을 미쳤다. 피해 업체는 공격 직후 추가 피해를 방지하기 위해 관련 네트워크의 연결을 차단했으며, 데이터 유출 등의 피해는 없었다고 언급했다. 또한, 현재 호텔 예약 서비스가 정상적으로 운영되고 있다고 알렸다. “Play” 측은 피해 업체를 공격했다고 주장하며 자신들이 운영하는 데이터 유출 사이트에 관련 정보를 게시했다.

 

미국 캘리포니아 재무부, LockBit 랜섬웨어 피해 사례

지난 12월 중순, 미국 캘리포니아 주의 재무부가 사이버 공격을 받아 운영에 영향을 받았다. 피해 기관은 이번 공격으로 인한 금전적인 피해는 없었으며 사건에 대해 조사 중이라고 발표했다. “LockBit” 측은 해당 공격이 본인들의 소행이라고 밝히며 피해 기관으로부터 인증서, 재무 및 법률 문서 등을 포함한 약 75GB의 데이터를 탈취했다고 주장했다. 현재, “LockBit” 다크웹 유출 사이트에는 공격을 주장하는 글과 함께 피해 기관으로부터 탈취했다고 주장하는 데이터가 모두 공개돼 있다.

 

콜롬비아 에너지 공급 업체 EPM, BlackCat 랜섬웨어 피해 사례

지난 12월, 콜롬비아의 에너지 공급 업체 EPM(Empresas Públicas de Medellín)이 사이버 공격을 받아 운영에 영향을 미쳤다. 외신에 따르면, 피해 업체는 해당 공격으로 인해 사내 IT 망과 회사 웹 사이트 사용에 차질이 생겨 재택 근무를 시행한 것으로 밝혀졌다. 또한, 이번 공격이 피해 업체가 서비스 중인 수도, 가스 등 에너지 공급에는 영향을 미치지 않았다고 알렸다. “BlackCat” 측은 피해 업체에 대한 공격을 주장하며 관련 데이터의 일부를 자신들이 직접 운영하는 데이터 유출 사이트에 게시했다.

 

미국 의료 업체 LCMHS, Hive 랜섬웨어 피해 사례

최근, 미국의 의료 업체 LCMHS(Lake Charles Memorial Health System)가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 피해 업체는 공식 발표를 통해 지난 10월 중순, 공격자가 피해 업체의 네트워크에 접속해 일부 데이터에 무단 액세스했다고 알렸다. 또한, 유출된 데이터에는 이름, 주소, 생년월일 및 사회보장번호 등 환자의 개인정보와 건강 보험, 치료 임상 정보 등의 의료 데이터가 포함된 것으로 알려졌다. “Hive” 측은 피해 업체에 대한 공격을 주장하며 직접 운영하는 데이터 유출 사이트에 관련 정보를 게시했다.