2022년 4분기 랜섬웨어 동향 보고서

1. 랜섬웨어 피해 사례

2022년 4분기(10월 1일 ~ 12월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “락빗(LockBit)”, “블랙캣(BlackCat)” 및 “플레이(Play)” 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 10월에는 일본 제조 업체 Ohmiya가 “락빗” 랜섬웨어 공격을 받았고, 11월과 12월에는 호주 부동산 업체 LJ Hooker와 미국 클라우드 서비스 업체 Rackspace가 각각 “블랙캣”과 “플레이” 랜섬웨어 공격을 받아 피해가 발생했다.

 

[그림 1] 2022년 4분기 랜섬웨어 동향

 

락빗(LockBit) 랜섬웨어 피해 사례

락빗(LockBit) 랜섬웨어를 사용하는 조직이 4분기에도 꾸준한 활동량을 보이고 있다. 지난 3분기에 랜섬웨어 빌더가 유출된 이후 다수의 변종 등장과 함께 락빗 랜섬웨어의 피해사례가 더욱 증가했다. 최근에는 해당 랜섬웨어 조직이 입사 지원서로 위장한 "Amadey" 봇넷을 통해 락빗 랜섬웨어를 유포하는 정황이 발견됐다.

 

[그림 2] 2022년 4분기 LockBit 랜섬웨어 피해 사례

 

일본 제조 업체 Ohmiya 피해

지난 10월, 일본의 제조 업체 Ohmiya가 랜섬웨어 공격을 받아 데이터가 유출된 정황이 발견됐다. 피해 업체는 사내 서버에 대한 무단 접근을 탐지한 후 관련 서버와 PC를 종료하고 네트워크를 차단하는 등의 조치를 취했다고 알렸다. 또한, 이번 공격이 제품 거래와 장비 납품 및 물류 서비스에 영향을 미치지 않았다고 언급했다. 현재, 락빗 데이터 유출 사이트에는 피해 업체에서 탈취했다고 주장하는 데이터가 공개돼 있다.

 

캐나다 병원 SickKids 피해

지난 12월, 캐나다의 병원 SickKids가 랜섬웨어 공격을 받아 시스템 운영에 영향을 미쳤다. 피해 병원은 공식 발표를 통해, 이번 공격으로 인해 내부 시스템 및 웹사이트 운영 등에 차질을 빚었다고 알렸다. 이후, 락빗 측은 이번 사건이 의료 기관을 공격하지 않는다는 운영 정책을 위반했다는 것을 사과하며 피해 병원에 복호화 프로그램을 제공한 것으로 밝혀졌다. 현재, 피해 병원은 진단 관련 시스템 등 우선 순위가 높은 시스템의 대부분을 복구 완료한 상태이다.

 

포르투갈 리스본 항만청 APL(Administration of the Port of Lisbon) 피해

지난 12월 말, 포르투갈 리스본의 항만청 APL(Administration of the Port of Lisbon)이 사이버 공격을 받아 데이터가 유출된 정황이 포착됐다. 피해 기관은 공식 발표를 통해 이번 공격이 항구 운영에는 영향을 미치지 않았다고 알렸다. 공격 이후 일시적으로 접속 불가 상태였던 피해 기관의 웹 사이트는 현재 복구돼 접속이 가능한 것으로 확인된다. 락빗 측은 피해 기관으로부터 재무 보고서, 항만 문서 및 승무원 개인 정보 등의 데이터를 탈취했다고 주장하며 직접 운영하는 다크웹 유출 사이트에 관련 정보를 게시했다.

 

블랙캣(BlackCat) 랜섬웨어 피해 사례 

지난 2021년 11월부터 활동을 시작한 블랙캣(BlackCat) 랜섬웨어는 미국 송유관 공격으로 이름을 널리 알렸다. 해당 랜섬웨어는 Rust 언어로 작성된 최초의 랜섬웨어로, VPN 및 RDP 취약점 악용과 Emotet 봇넷 등의 다양한 방법으로 유포되고 있다. 4분기에는 블랙캣 랜섬웨어의 운영자가 Log4j 취약점을 악용하는 기능을 추가해 블랙캣 랜섬웨어를 네트워크 상에서 유포할 수 있다고 언급했다.

 

[그림 3] 2022년 4분기 BlackCat 랜섬웨어 피해 사례

 

미국 시설 관리 업체 Events DC 피해

지난 10월, 미국 워싱턴주의 경기장 및 전시관 관리 업체 Event DC가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 피해 업체의 공식 발표에 따르면, 공격을 인지하고 대응을 시도했지만 일부 직원들의 개인정보 등의 데이터가 탈취됐다고 알려졌다. 이후, 피해 업체는 해당 직원들에게 이 사실을 통지하고 모든 직원들을 대상으로 신용 보호 서비스를 제공한다고 밝혔다. 블랙캣 측은 이번 공격을 주장하며 자신들의 데이터 유출 사이트에 피해 업체에서 탈취한 데이터를 공개했다.

 

호주 부동산 업체 LJ Hooker 피해

지난 11월 말, 호주의 부동산 업체 LJ Hooker가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 블랙캣 랜섬웨어 조직은 자신들의 데이터 유출 사이트에 피해 업체의 데이터 중 일부를 게시해 이번 공격이 자신들의 소행임을 밝혔다. 공개된 데이터에는 고객의 신용 카드 정보와 직원 개인 정보 및 손익 계산서, 재무 문서 등의 회사 내부 문서가 포함된 것으로 알려졌다. 데이터가 공개된 이후, 피해 업체는 이 사실을 정부와 피해 고객들에게 통보했고 IT 업체와 협력해 피해 규모를 파악한 뒤 유출된 데이터를 보호하기 위한 조치를 취하고 있다.

 

콜롬비아 에너지 공급 업체 EPM(Empresas Públicas de Medellín) 피해

지난 12월, 콜롬비아의 에너지 공급 업체 EPM(Empresas Públicas de Medellín)이 사이버 공격을 받아 운영에 영향을 미쳤다. 외신에 따르면, 피해 업체는 해당 공격으로 인해 사내 IT 망과 회사 웹 사이트 사용에 차질이 생겨 재택 근무를 시행한 것으로 밝혀졌다. 또한, 이번 공격이 피해 업체가 서비스 중인 수도 및 가스 등의 공급에는 영향을 미치지 않았다고 알렸다. 블랙캣 측은 피해 업체에 대한 공격을 주장하며 관련 데이터의 일부를 자신들이 직접 운영하는 데이터 유출 사이트에 게시했다.

 

플레이(Play) 랜섬웨어 피해 사례

2022년 6월 처음으로 등장한 플레이(Play) 랜섬웨어는 여러 업체와 공공기관을 공격하며 활동을 지속하고 있다. 해당 랜섬웨어는 탈취한 계정 또는 패치되지 않은 취약점 등을 악용해 공격 대상 시스템에 침투한다고 알려졌다. 최근에는 공격 대상에 침투하기 위해 MS 익스체인지 서버에서 Proxy Not Shell 취약점을 악용하는 정황이 발견됐다.

 

[그림 4] 2022년 4분기 Play 랜섬웨어 피해 사례

 

벨기에 도시 Antwerp 피해

지난 12월, 벨기에의 Antwerp 시가 사이버 공격으로 인해 일부 시스템이 마비됐다. 외신은 공격자가 IT 시스템 관리 업체 Digipolis를 공격해 해당 업체의 서비스를 사용하는 Antwerp 시의 경찰과 시청 등의 기관들이 전화 및 이메일 이용에 차질을 빚었다고 알렸다. 플레이 측은 자신들이 운영하는 데이터 유출 사이트에서 피해 기관에 대한 공격을 주장하며 탈취 데이터 557GB 중 여권, 금융 정보 등을 포함한 일부를 공개했다.

 

미국 클라우드 서비스 업체 Rackspace 피해

지난 12월 초, 미국의 클라우드 서비스 업체 Rackspace가 랜섬웨어 공격을 받아 서비스 운영에 영향을 미쳤다. 피해 업체의 공식 발표에 따르면, 이번 사건으로 인해 고객들에게 제공하는 Hosted Exchange 서비스가 중단됐지만, 그 외 다른 제품과 서비스에는 영향이 없다고 알려졌다. 이후, 피해 업체는 보안 업체 및 FBI와 협동 조사를 통해 플레이 랜섬웨어 조직이 미리 탈취한 고객의 계정을 통해 내부 시스템에 접근한 사실을 확인했다고 밝혔다. 현재, 플레이 데이터 유출 사이트에 피해 업체와 관련된 게시물 및 탈취 데이터는 게시되지 않았다.

 

독일 숙박 업체 H-Hotels 피해

지난 12월 중순, 독일의 숙박 업체 H-Hotels가 사이버 공격을 받아 서비스 운영에 영향을 미쳤다. 피해 업체는 공격을 탐지한 뒤 추가 피해를 방지하기 위해 IT 시스템을 종료하고 관련 네트워크의 연결을 차단하는 조치를 취했다. 또한, 이번 공격이 호텔 예약 서비스에 영향을 미치지 않았지만, 이메일을 통한 고객문의 서비스가 아직 복구되지 않아 문의사항이 있을 경우 전화를 이용할 것을 권장했다. 플레이 측은 피해 업체를 공격했다고 주장하며 자신들이 운영하는 데이터 유출 사이트에 관련 정보를 게시했다.

 

2. 랜섬웨어 통계

2022년 4분기(10월 1일 ~ 12월 31일)에 활동이 많았던 랜섬웨어 TOP3의 구글 트렌드 검색어 조사 결과 락빗 랜섬웨어가 가장 많이 검색됐다. 특히 락빗 랜섬웨어의 검색량이 높은 시기 중 11월 2주 차에는 "Amadey Bot" 악성코드를 사용해 락빗 랜섬웨어를 유포하는 정황이 발견됐다. 블랙캣 랜섬웨어의 검색량이 가장 높은 시기인 12월 3주차에는 콜롬비아 에너지 공급업체 EPM 피해사례가 있었다. 마지막으로 플레이 랜섬웨어는 12월 3주차에 검색량이 일부 증가했는데 이 시기에는 독일 숙박 업체 H-Hotels 피해사례가 있었다.

 

[그림 5] 구글 트렌드 - 분기별 랜섬웨어 관심도 비교

 

다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 37곳의 정보를 취합한 결과이다. 

2022년 4분기(10월 1일 ~ 12월 31일)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 10월에 데이터 유출이 가장 많이 발생했다. 

 

[그림 6] 2022년 4분기 월별 데이터 유출 현황

 

2022년 4분기(10월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 국가별로 비교했을 때 미국이 33%로 가장 높은 비중을 차지했고, 프랑스와 영국이 5%로 그 뒤를 따랐다.

 

[그림 7] 2022년 4분기 국가별 데이터 유출 비율

 

2022년 4분기(10월 1일 ~ 12월 31일)에 발생한 데이터 유출 건을 산업별로 비교했을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야가 그 다음으로 많은 공격을 받았다. 또한, 교육 서비스 분야가 그 뒤를 따랐다.

 

[그림 8] 2022년 4분기 산업별 데이터 유출 현황