2023년 08월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 40곳의 정보를 취합한 결과이다.

2023년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 123건으로 가장 많은 데이터 유출이 있었고, “BlackCat” 랜섬웨어와 “8base” 랜섬웨어가 각각 37건과 34건의 유출 사례를 기록했다.

 

[그림 1] 2023년 8월 진단명별 데이터 유출 현황

 

2023년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 43%로 가장 높은 비중을 차지했고, 캐나다가 6%, 독일과 영국이 5%로 그 뒤를 따랐다.

 

[그림 2] 2023년 8월 국가별 데이터 유출 비율

 

2023년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야가 그 뒤를 따랐다.

 

[그림 3] 2023년 8월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2023년 8월(8월 1일 ~ 8월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 파키스탄의 의료 업체 IBL Healthcare와 일본 시계 제조 업체 Seiko가 "BlackCat" 랜섬웨어 공격을 받아 데이터가 유출됐다. 또한, 오스트레일리아 건설 업체 CB Group과 미국 의료 업체 PMH가 각각 "Medusa"와 "Rhysida" 랜섬웨어 공격을 받아 데이터가 유출된 사례가 있었다. 한편, 덴마크 호스팅 업체 CloudNordic과 AzeroCloud는 랜섬웨어 공격으로 운영이 중단돼 도메인을 교체하는 등 운영에 차질을 빚었다.

 

[그림 4] 국내 / 외 랜섬웨어 피해 타임라인

 

파키스탄 의료 업체 IBL Healthcare, BlackCat 랜섬웨어 피해 사례

지난 8월 초, 파키스탄의 의료 업체인 IBL Healthcare가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 외신은 이번 공격으로 유출된 데이터에 피해 업체의 급여와 재무 정보 등 10개 항목과 모회사의 제약 정보가 포함됐다고 전했다. "BlackCat" 측은 자신들이 공격했다고 주장하며 직접 운영하는 데이터 유출 사이트에 탈취한 데이터를 게시했다.

 

오스트레일리아 건설 업체 CB Group, Medusa 랜섬웨어 피해 사례

오스트레일리아의 건설 업체인 CB Group이 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 외신은 이번 공격으로 피해 업체 직원의 신분증과 사내 조직도 및 계약서 등이 유출됐으며, 그 양은 약 1TB라고 전했다. 이번 사건에 대해 "Medusa" 측은 자신들이 공격했다고 주장하며 피해 업체에 24일까지 10만 달러의 랜섬머니를 요구한 것으로 알려졌다. 현재, 공격자 측이 직접 운영하는 데이터 유출 사이트에는 피해 업체에서 탈취된 데이터 전부가 게시된 상태이다.

 

일본 시계 제조 업체 Seiko, BlackCat 랜섬웨어 피해 사례

일본의 시계 제조 업체인 Seiko가 랜섬웨어 공격을 받아 데이터가 유출된 정황을 공개했다. 피해 업체 측은 공격자가 사내 서버에 무단으로 접근한 이력을 발견해 조사 중이라고 먼저 안내한 후, 협력사와 그룹사의 직원 정보가 유출됐다고 추가로 공지했다. 또한, 정보가 유출된 당사자에게 별도로 연락할 예정이라고 전하며 의심스러운 이메일 열람 및 링크 접속은 자제할 것을 권고했다. 외신은 피해 업체 직원의 여권 정보와 기술 설계도 및 시계 디자인 등이 유출됐다고 언급했다. "BlackCat" 측은 자신들이 공격했다고 주장하며 직접 운영하는 데이터 유출 사이트에 탈취한 데이터를 게시했다.

 

덴마크 호스팅 업체 CloudNordic과 AzeroCloud, 랜섬웨어 피해 사례

지난 8월 말, 덴마크의 호스팅 업체인 CloudNordic과 AzeroCloud가 사이버 공격을 받아 운영이 중단된 정황을 공개했다. 피해 업체 측은 서버를 다른 데이터 센터로 이전하는 과정에서 서버가 이미 감염된 채로 네트워크에 연결했다고 언급했다. 그 결과, 공격자가 중앙 관리 시스템과 백업 시스템에 접근해 데이터를 암호화할 수 있었다고 전했다. 이후 피해 업체 측은 도메인 교체 작업을 완료했다고 공지하며 데이터가 유출된 정황은 발견되지 않았다고 덧붙였다.

 

미국 의료 업체 PMH, Rhysida 랜섬웨어 피해 사례

미국의 의료 업체인 PMH(Prospect Medical Holdings)가 사이버 공격을 받아 데이터가 유출되고 운영에 영향을 미쳤다. 외신은 이번 공격으로 내부 문서와 환자 정보 등이 포함된 2.3TB의 정보가 유출됐다고 언급했다. 또한, 피해 업체 측에서 이번 공격의 피해 확산을 막기 위해 시스템에 연결된 네트워크를 해제했다고 전했다. 이에 따라 전자 의료 기록(EMR) 시스템의 사용이 중단돼 종이 차트로 환자 정보를 기록했다고 덧붙였다. "Rhysida" 측은 자신들이 공격했다고 주장하며 직접 운영하는 데이터 유출 사이트에 게시글을 작성했다.