동향 리포트/월간 동향 리포트

2023년 05월 랜섬웨어 동향 보고서

TACHYON & ISARC 2023. 6. 15. 13:41

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 41곳의 정보를 취합한 결과이다.

20235(5 1 ~ 531)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 BlackCat 랜섬웨어가 41건으로 가장 많은 데이터 유출이 있었고, Snatch 랜섬웨어가 10건으로 두번째로 많이 발생했다.

 

[그림 1] 2023 년 5 월 진단명별 데이터 유출 현황

 

20235(5 1 ~ 5 31)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 39%로 가장 높은 비중을 차지했고, 캐나다가 9%, 인도와 프랑스가 6%로 그 뒤를 따랐다.

 

[그림 2] 2023 년 5 월 국가별 데이터 유출 비율

 

20235(5 1 ~ 5 31)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야가 그 뒤를 따랐다.

 

[그림 3] 2023 년 5 월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2023 5(5 1 ~ 5 31) 한 달간 랜섬웨어 동향을 조사한 결과, 캐나다 소프트웨어 업체 Constellation Software와 미국 의료 업체 MCNA Dental이 각각 BlackCatLockBit 랜섬웨어 공격을 받아 데이터가 유출된 정황이 공개됐다. 또한, 스위스 산업 장비 제조 업체 ABB "BlackBasta" 랜섬웨어 공격을 받아 운영에 차질을 빚었고, 미국 신문사 Philadelphia InquirerCuba 랜섬웨어 공격을 받아 피해를 입은 사례가 있었다. 한편, 미국 의료 소프트웨어 제공 업체 NnxtGen Healthcare도 랜섬웨어 공격을 받았으나 어느 조직에서 공격한 것인지는 알려지지 않았다.

 

[그림 4] 국내 / 외 랜섬웨어 피해 타임라인


 

캐나다 소프트웨어 업체 Constellation Software, BlackCat 랜섬웨어 피해 사례

5월 초, 캐나다의 소프트웨어 업체 Constellation Software가 사이버 공격을 받아 데이터가 유출된 정황이 공개됐다. 피해 업체는 4 3일에 발생한 사이버 사고로 재무 관리 등 일부 시스템이 영향을 받았고 현재는 정상적으로 운영 중이라고 알렸다. 또한, 이번 사고로 개인 정보에 영향을 받은 일부 고객 및 고객사에 해당 사실을 통지하는 중이라고 언급했다. 현재, "BlackCat" 측은 자신들이 공격했다고 주장하며 직접 운영하는 데이터 유출 사이트에 피해 업체에서 1TB 이상의 데이터를 탈취했다는 내용을 게시했다.

 

미국 의료 소프트웨어 제공 업체 NnxtGen Healthcare, 랜섬웨어 피해 사례

미국의 의료 소프트웨어 업체 NnxtGen Healthcare가 사이버 공격을 받아 데이터가 유출됐다고 발표했다. 피해 업체는 데이터 위반 통지 보고서를 공개하며 지난 3월 말, 내부 시스템에서 무단으로 접근한 이력을 발견했고 약 100만명 이상의 고객 데이터가 영향을 받았다고 언급했다. 또한, 유출된 정보는 이름, 주소 및 주민등록번호 등을 포함한 개인 정보로 건강 및 의료 데이터는 영향을 받지 않았다고 덧붙였다. 이에 대해 피해 업체는 고객들에게 개인정보보호 모니터링 서비스를 제공하겠다고 알렸다.

 

스위스 산업 장비 제조 업체 ABB, BlackBasta 랜섬웨어 피해 사례

지난 5월 중순, 스위스의 산업 장비 제조 업체인 ABB가 사이버 공격을 받아 운영에 영향을 미쳤다. 당시 외신에 따르면, 피해 업체의 장치 수백 대가 영향을 받았고 추가 피해를 방지하기 위해 고객과의 VPN 연결을 종료한 것으로 알려졌다. 이후, 5 23일에 피해 업체는 승인되지 않은 제삼자가 시스템에 무단으로 접근해 데이터를 탈취했다고 발표했다. 또한, ABB는 주요 서비스와 시스템이 정상 가동되고 있으며 관련 사건에 대한 조사와 영향을 최소화하는 데 주력하고 있다고 전했다.

 

미국 신문사 Philadelphia Inquirer, Cuba 랜섬웨어 피해 사례

지난 5월 말, 미국 신문사 Philadelphia Inquirer가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 사건 당시 외신에 따르면 피해 업체의 주말 신문 발행이 중단돼 구독자들은 초판을 받아 본 것으로 알려졌다. 또한, "Cuba" 측은 자신들이 피해 업체를 공격했다고 주장하며 직접 운영하는 데이터 유출 사이트에 탈취한 데이터를 게시했다. 현재, 피해 업체는 "Cuba" 측에서 게시한 정보가 자신들의 것이 아니라고 부인하고 있으며, 개인 정보 유출 사실이 확인되면 당사자들에게 공지하겠다고 언급했다.

 

미국 의료 업체 MCNA Dental, LockBit 랜섬웨어 피해 사례

최근 미국에 기반을 둔 의료 업체 MCNA Dental 3월 초에 사이버 공격을 받아 데이터가 유출됐다고 발표했다. 발표한 자료에 따르면 유출된 정보에는 약 900만 명의 환자에 대한 이름, 사회 보장 번호 및 건강 보험 등이 포함된 것으로 알려졌다. 또한, 이 문제에 대한 보상 조치로 영향을 받은 고객들에게 1년 동안 무료로 신원 도용 방지 서비스를 제공하겠다고 약속했다. 한편 지난 3 7, "LockBit" 측은 피해 업체에서 탈취한 데이터 중 일부를 자신들이 운영하는 데이터 유출 사이트에 게시했다. 또한, 외신에 따르면 탈취한 데이터 700GB를 게시하지 않는 조건으로 1,000만 달러를 요구했다고 알려졌다. 이후, "LockBit" 측은 4월 초에 탈취한 데이터 전부를 게시하며 자신들이 피해 업체를 공격했다고 주장하고 있다.