동향 리포트/월간 동향 리포트

2023년 02월 랜섬웨어 동향 보고서

TACHYON & ISARC 2023. 3. 9. 09:44

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 39곳의 정보를 취합한 결과이다.

2023년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 94건으로 가장 많은 데이터 유출이 있었고, “Clop” 랜섬웨어가 23건으로 두번째로 많이 발생했다.

 

[그림 1] 2023년 2월 진단명별 데이터 유출 현황

 

2023년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 51%로 가장 높은 비중을 차지했고, 영국과 프랑스가 4%, 독일, 브라질, 이탈리아가 3%로 그 뒤를 따랐다.

 

[그림 2] 2023년 2월 국가별 데이터 유출 비율

 

2023년 2월(2월 1일 ~ 2월 28일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 유통/무역/운송 분야가 그 뒤를 따랐다.

 

[그림 3] 2023년 2월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2023년 2월(2월 1일 ~ 2월 28일) 한 달간 랜섬웨어 동향을 조사한 결과, 미국 도시 Oakland와 미국 의료 업체 CHS가 각각 “Play”와 “Clop” 랜섬웨어 공격을 받은 정황이 발견됐으며, 이스라엘 공과대학 Technion IIT가 “DarkBit” 랜섬웨어 공격을 받았다. 또한, 포르투갈 수도 공급 업체 Aguas do Porto가 “LockBit” 랜섬웨어 공격을 받았으며, 미국 케이블 TV 방송국 Dish Network가 랜섬웨어 공격을 받아 데이터가 유출된 사건이 있었다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

미국 도시 오클랜드(Oakland), Play 랜섬웨어 피해 사례

지난 2월, 미국의 오클랜드(Oakland) 시가 랜섬웨어 공격을 받아 시스템 운영에 차질을 빚었다. 피해 기관은 인프라의 핵심 기능인 긴급 구조 시스템과 재무 데이터, 화재 및 비상 자원은 영향을 받지 않았다고 밝혔다. 또한, 해당 공격 이후 영향을 받은 일부 시스템을 오프라인 상태로 전환했다고 알렸고, 복원 작업이 진행되는 동안 일시적인 서비스 지연이 발생할 수 있다고 언급했다. 현재, 피해 기관의 전화 시스템과 계약 및 자금 조달 관련 시스템 등 일부 시스템이 복원되어 서비스가 재개되었으나, 아직 온라인 결제 시스템 등 일부 서비스는 이용할 수 없는 상태이다. “Play” 측은 자신들이 운영하는 데이터 유출 사이트를 통해 피해 기관으로부터 여권을 포함한 직원 개인 정보와 재정, 정부 관련 데이터 등을 탈취했다고 주장하며 약 10GB의 데이터를 공개했다.

 

미국 의료 업체 CHS, Clop 랜섬웨어 피해 사례

미국의 의료 업체 CHS(Community Health Systems)가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 이번 공격에서 공격자는 피해 업체에서 사용 중인 Fortra 사의 파일 보안 전송 소프트웨어(GoAnywhere MFT)의 제로데이 취약점을 통해 공격했고, 이로 인해 피해 업체의 데이터가 유출된 것으로 밝혀졌다. 피해 업체는 공식 발표를 통해 해당 공격으로 인해 약 100만 명의 환자 개인 정보 및 건강 관련 데이터가 영향 받았을 수 있다고 언급했고, 이름, 주소, 사회 보장 번호 등의 개인 정보와 보험 정보, 진단 및 투약과 같은 특정 의료 정보가 포함될 수 있다고 밝혔다. 또한, 이번 공격이 자사의 어떤 시스템에도 영향을 미치지 않았으며, 환자 치료를 포함한 의료 서비스가 정상적으로 운영되고 있다고 알렸다. 외신에 따르면, “Clop” 랜섬웨어 조직이 GoAnywhere MFT 취약점이라고 불리는 CVE-2023-0669를 악용해 피해 업체를 포함한 130개 기업을 공격했다고 주장한 것으로 알려졌다.

 

이스라엘 공과대학 Technion IIT(Israel Institute of Technology), DarkBit 랜섬웨어 피해 사례

지난 2월 중순, 이스라엘의 테크니온 공과대학이 랜섬웨어 공격을 받은 정황이 발견됐다. 피해 기관은 추가적인 피해를 막기 위해 모든 네트워크 통신을 차단하는 조치를 취했으며, 당시 예정됐던 시험 일정을 연기했다고 알렸다. 또한, 현재 Office 365, Zoom 및 Panopto를 포함한 일부 시스템은 복구를 완료했지만, 학습 자료 열람 시스템이 완전히 복구되지 않아 대체 수단을 통해 서비스를 제공할 것이라고 알렸다. 외신에 따르면, 피해 기관 시스템에서 “DarkBit” 랜섬웨어 조직의 랜섬노트가 발견됐으며 복호화를 위해 80 BTC를 지불하라는 내용이 포함됐다고 알려졌다. “DarkBit”은 자신들의 텔레그램 계정을 통해 이번 공격에 대한 책임을 주장했고, 탈취한 데이터를 빌미로 피해 기관에게 랜섬머니를 요구했다. 

 

포르투갈 수도 공급 업체 Aguas do Porto, LockBit 랜섬웨어 피해 사례

포르투갈의 수도 공급 업체 Aguas do Porto가 랜섬웨어 공격을 받아 데이터가 유출된 정황이 포착됐다. 피해 업체는 이번 사고로 인해 일부 고객 서비스 운영에 제약이 생겼지만 수도 공급에는 영향이 없다고 공지했다. 외신은 해당 사건을 조사한 보안 업체 Divultec가 비밀번호를 포함한 피해 업체 고객의 중요 정보가 유출된 것을 확인했다고 알렸다. “LockBit” 측은 다크웹 유출 사이트에 피해 업체에 대한 공격을 주장하며 관련 정보를 게시했고, 데이터 유출을 빌미로 랜섬머니를 요구한 것으로 알려졌다.

 

미국 케이블 TV 방송국 Dish Network, 랜섬웨어 피해 사례

지난 2월 말, 미국의 케이블 TV 방송국 Dish Network가 사이버 공격을 받아 데이터가 탈취된 정황이 포착됐다. 피해 업체는 공식 발표를 통해, 공격 이후 일부 시스템에서 특정 데이터가 탈취된 흔적이 발견됐고, 해당 데이터에는 개인 정보가 포함되어 있을 수 있다고 언급했다. 또한, 이번 공격으로 인해 고객 콜센터와 계정 로그인 및 결제 등 일부 서비스 운영에 어려움을 겪었다고 밝혔다. 외신은 이번 공격이 피해 업체의 자회사인 Boost Mobile을 공격한 뒤 이뤄졌다고 알렸고, 공격의 배후로 “Black Basta” 랜섬웨어 그룹을 지목했다. 하지만, 아직 어떤 랜섬웨어 조직도 이번 공격에 대한 책임을 주장하지 않고 있으며, 피해 범위 및 탈취 데이터 등 자세한 정보는 알려지지 않았다.