2023년 06월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 58곳의 정보를 취합한 결과이다.

2023년 6월(6월 1일 ~ 6월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 61건으로 가장 많은 데이터 유출이 있었고, “8base” 랜섬웨어와 “BlackCat” 랜섬웨어가 각각 40건의 유출 사례를 기록했다.

 

[그림  1] 2023 년  6 월 진단명별 데이터 유출 현황

 

2023년 6월(6월 1일 ~ 6월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 45%로 가장 높은 비중을 차지했고, 영국과 브라질이 각각 6%와 5%로 그 뒤를 따랐다.

 

[그림  2] 2023 년  6 월 국가별 데이터 유출 비율

 

2023년 6월(6월 1일 ~ 6월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 건설/부동산 분야가 그 뒤를 따랐다.

 

[그림  3] 2023 년  6 월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2023년 6월(6월 1일 ~ 6월 30일) 한 달간 랜섬웨어 동향을 조사한 결과, 호주 법률 서비스 제공 업체 HWL Ebsworth와 미국 정보통신 업체 Reddit이 "BlackCat" 랜섬웨어 공격을 받아 데이터가 유출된 정황이 발견됐다. 또한, 스위스 정보통신 업체 Xplain과 칠레 육군이 각각 "Play"와 "Rhysida" 랜섬웨어 공격을 받아 운영에 차질을 빚었다. 한편, 미국 정보통신 업체 Gen Digital은 "Clop" 랜섬웨어의 공격을 받았으며 외신은 취약점이 공개된 MOVEit 프로그램 사용을 침해 사고의 원인으로 추정하고 있다.

 

[그림  4]  국내 / 외 랜섬웨어 피해 타임라인

 

 

호주 법률 서비스 업체 HWL Ebsworth, BlackCat 랜섬웨어 피해 사례

호주의 법률 서비스 업체 HWL Ebsworth가 사이버 공격을 받아 운영에 영향을 미쳤다. 외신은 피해 업체의 재무 보고서, 회계 정보 및 고객 관련 문서 등을 포함한 약 4TB의 데이터가 유출됐다고 언급했다. 피해 업체는 호주 공영 방송사와의 인터뷰에서 랜섬머니 요구에 응하지 않을 것이라고 입장을 밝혔다. 특히, 범죄 행위를 조장하거나 묵인해서는 안 된다고 언급하며 수사 기관과 관련 사건을 조사하는 중이라고 덧붙였다. 현재, "BlackCat" 측은 탈취한 데이터 중 1.45TB를 직접 운영하는 데이터 유출 사이트에 게시하며 랜섬머니를 요구하고 있다.

 

스위스 정보통신 업체 Xplain, Play 랜섬웨어 피해 사례

지난 6월 중순, 스위스의 정보통신 업체 Xplain이 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 외신에 따르면 이번 공격으로 피해 업체의 개인 정보와 금융 정보 등이 유출된 것으로 알려졌다. 한편 스위스 정부는 다수의 정부 기관이 피해 업체의 소프트웨어를 사용하고 있어 이번 공격의 영향을 받을 수 있다고 전했다. 또한, 정부 측은 유출된 정보의 피해 범위와 사후 대응을 전담하는 팀을 구성해 사건을 조사하고 있다고 덧붙였다. "Play" 측은 피해 업체에서 탈취한 데이터 전부를 자신들이 운영하는 데이터 유출 사이트에 게시했다.

 

칠레 육군, Rhysida 랜섬웨어 피해 사례

칠레 육군이 사이버 공격을 받은 정황이 발견됐다. 현지 보안 업체에 따르면 군 당국은 사건 당시 네트워크를 차단한 후, 군 내부에서 외부 저장 장치를 연결하지 말라고 지시했다. 또한, 현지 경찰은 육군 상병 한 명을 이번 공격에 가담한 혐의로 기소했고 소유하던 전자 장치를 압수했다고 덧붙였다. 현재, "Rhysida" 측은 자신들이 공격했다고 주장하며 탈취한 데이터의 일부를 직접 운영하는 데이터 유출 사이트에 게시했다.

 

미국 정보통신 업체 Reddit, BlackCat 랜섬웨어 피해 사례

지난 5월 말, 미국의 정보통신 업체 Reddit이 사이버 공격을 받은 정황을 공지했다. 피해 업체 측은 이번 공격으로 사이트 운영에 필요한 코드와 직원 및 광고주의 정보가 유출됐다고 알렸다. 또한, 사건 당시 공격자의 접근을 차단하고 수사 기관에 내부 조사를 의뢰했다고 덧붙였다. 현재, "BlackCat" 측은 자신들이 피해 업체를 공격했다고 주장하며 직접 운영하는 데이터 유출 사이트에 탈취한 데이터 80GB를 게시했다.

 

미국 정보통신 업체 Gen Digital, Clop 랜섬웨어 피해 사례

최근, 미국의 정보통신 업체 Gen Digital이 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 외신에 따르면 피해 업체에서 제공하는 서비스와 관련한 시스템은 공격의 영향을 받지 않은 것으로 알려졌다. 하지만 직원의 이름, 주소 및 이메일 등을 포함한 개인 정보가 유출된 정황이 확인돼 관계자들에게 알렸다고 언급했다. 또한, 피해 업체는 파일 전송 프로그램인 MOVEit을 사용하고 있으며 사내 시스템에 존재하는 취약점의 패치를 진행했다고 덧붙였다. 이에 대해 외신은 공격자가 제로데이 취약점이 공개된 MOVEit 프로그램을 악용해 피해 업체를 공격한 것으로 추정하고 있다. 현재, "Clop" 측은 자신들이 공격했다고 주장하며 직접 운영하는 데이터 유출 사이트에 피해 업체의 정보를 게시했다.