2023년 04월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 41곳의 정보를 취합한 결과이다.

2023년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 161건으로 가장 많은 데이터 유출이 있었고, “BlackCat” 랜섬웨어가 48건으로 두번째로 많이 발생했다.

 

[그림 1] 2023년 4월 진단명별 데이터 유출 현황

 

2023년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 40%로 가장 높은 비중을 차지했고, 프랑스가 7%, 캐나다와 영국, 독일이 4%로 그 뒤를 따랐다.

 

[그림 2] 2023년 4월 국가별 데이터 유출 비율

 

2023년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야가 그 뒤를 따랐다.

 

[그림 3] 2023년 4월 산업별 데이터 유출 현황

 

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2023년 4월(4월 1일 ~ 4월 30일) 한 달간 랜섬웨어 동향을 조사한 결과, 키프로스 대학교 OUC가 “Medusa” 랜섬웨어 공격을 받은 정황이 발견됐으며, 미국 외식 업체 Yum! Brands가 랜섬웨어 공격을 받아 데이터가 유출된 사건이 있었다. 또한, 미국 결제 솔루션 업체 NCR이 “BlackCat” 랜섬웨어의 공격으로 운영에 차질을 빚었고, 영국 아웃소싱 업체 Capita와 캐나다 출판 업체 Yellow Pages가 “BlackBasta” 랜섬웨어 공격을 받았다.

 

[그림 4] 국내/외 랜섬웨어 피해 타임라인

 

 

키프로스 대학교 OUC, Medusa 랜섬웨어 피해 사례

지난 4월 초, 키프로스의 대학교 OUC(Open University of Cyprus)가 사이버 공격을 받아 시스템 운영에 차질을 빚었다. 피해 기관은 이번 공격으로 인해 이러닝 플랫폼, 취업 포털 및 대학 커뮤니티와 관련된 기타 중요 시스템에 접근할 수 없게 됐다고 발표했다. 이로 인해 과제 제출 및 채용 공고의 마감 기한을 연장할 것이라고 알렸고, 현재는 이러닝을 포함한 일부 서비스가 복구돼 정상적으로 운영 중이라고 언급했다. “Medusa” 랜섬웨어는 자신들이 운영하는 데이터 유출 사이트에 피해 기관의 정보를 게시하며 데이터 판매 또는 삭제를 대가로 각각 10만 달러의 랜섬머니를 요구했다. 또한, 공격에 대한 주장을 뒷받침하기 위해 학생들의 개인식별정보를 포함한 일부 데이터 샘플을 함께 공개했다.

 

미국 외식 업체 Yum! Brands, 랜섬웨어 피해 사례

지난 4월, 미국의 외식 업체 Yum! Brands가 랜섬웨어 공격을 받아 데이터가 유출된 정황이 포착됐다. 피해 업체는 이번 사건으로 인해 운전 면허증과 신분증 등 일부 직원들의 개인 정보가 유출됐다고 밝혔다. 이에, 피해 업체 측은 영향 받는 직원에게 모니터링 및 신원 보호 서비스를 제공하고 있으며, 고객 개인 정보는 영향을 받지 않았다고 알렸다. 또한, 이번 공격으로 인해 일시적으로 매장 문을 닫는 등 운영에 차질을 빚었으나, 현재는 모든 매장이 운영 중이라고 발표했다.

 

미국 결제 솔루션 업체 NCR, BlackCat 랜섬웨어 피해 사례

미국의 결제 솔루션 업체 NCR이 랜섬웨어 공격을 받아 운영에 차질을 빚었다. 피해 업체에 따르면, 공격자는 피해 업체가 운영 중인 Aloha POS 플랫폼의 데이터 센터를 공격했고 이로 인해 해당 플랫폼의 운영이 중단된 것으로 알려졌다. 하지만 이번 공격은 고객 및 결제 관련 시스템에는 영향을 주지 않았다고 밝혔고, 현재는 중단됐던 시스템의 대부분이 복구됐다고 언급했다. “BlackCat” 측은 피해 업체에 대한 공격을 주장하며 자신들이 운영하는 다크웹 유출 사이트에 피해 업체와의 채팅을 공개했다. 공개된 내용에 따르면, 공격자가 피해 업체로부터 고객의 자격 증명을 탈취했다고 밝혔으며, 현재 해당 게시글은 삭제된 상태이다.

 

영국 아웃소싱 업체 Capita, BlackBasta 랜섬웨어 피해 사례

지난 4월 중순, 영국의 아웃소싱 업체 Capita가 사이버 공격을 받아 서비스 운영에 영향을 끼쳤다. 피해 업체는 이번 공격으로 인해 Office 365 서비스와 같은 내부 서비스와 일부 고객 서비스가 중단됐으며, 고객 및 공급업체와 관련된 일부 데이터가 유출됐을 수 있다고 언급했다. 현재, 피해 업체는 중단됐던 대부분의 서비스를 복원했다고 알리며, 해당 사건에 대해 조사 중이라고 알렸다. “BlackBasta” 측은 자신들의 다크웹 유출 사이트에 피해 업체에 대한 공격을 주장하며, 계좌번호, 주소 및 여권 등이 포함된 일부 데이터를 공개했다. 또한, 탈취한 데이터를 판매하겠다고 협박하며 피해 업체에게 랜섬머니 지불을 요구했다.

 

캐나다 출판 업체 Yellow Pages, BlackBasta 랜섬웨어 피해 사례

최근, 캐나다의 출판 업체 Yellow Pages가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 외신에 따르면, 공격자가 피해 업체로부터 일부 직원 및 고객들의 개인정보를 탈취한 것으로 알려졌다. 피해 업체는 공격의 영향을 받는 고객에게 해당 사실을 통지했으며, 일부 고객들의 사회 보장 번호와 은행 계좌 번호 및 급여 정보 등이 유출됐을 수 있다고 언급했다. 또한, 공격 이후 일부 서비스가 중단됐으나 현재는 대부분의 서비스가 복구됐다고 밝혔다. “BlackBasta” 측은 이번 공격이 자신들의 소행이라고 주장하며 사회보장번호가 포함된 세금 문서와 여권 및 운전 면허증 등 일부 데이터를 공개했다.