2023년 10월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 41곳의 정보를 취합한 결과이다.

2023년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 66건으로 가장 많은 데이터 유출이 있었고, “NoEscape” 랜섬웨어와 “Play” 랜섬웨어가 각각 58건과 40건의 유출 사례를 기록했다.

 

[그림 1] 2023년 10월 진단명별 데이터 유출 현황

 

2023년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 43%로 가장 높은 비중을 차지했고, 영국이 10%, 캐나다가 6%로 그 뒤를 따랐다.

[그림 2] 2023년 10월 국가별 데이터 유출 비율

 

2023년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 건설/부동산 분야가 그 뒤를 따랐다.

[그림 3] 2023년 10월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2023년 10월(10월 1일 ~ 10월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 미국의 병원 McLaren Health Care가 "BlackCat" 랜섬웨어 공격을 받은 사건의 조사 결과를 공개했다. 또한, 캐나다의 항공사 Air Canada와 미국의 정보 통신 업체 CDW가 각각 "BianLian"과 "LockBit" 랜섬웨어 공격으로 데이터가 유출된 사례가 있었다. 한편, 미국의 에너지 업체 BHI Energy와 캐나다 토론토의 공공 도서관은 "Akira"와 "BlackBasta" 랜섬웨어의 공격을 받은 정황이 발견됐다.

 

[그림 4] 국내 / 외 랜섬웨어 피해 타임라인

 

미국 병원 McLaren Health Care, BlackCat 랜섬웨어 피해 사례

미국의 병원 McLaren Health Care에서 지난 8월 말에 발생한 사이버 공격의 조사 결과를 10월 초에 발표했다. 피해 병원은 공격자가 7월 말부터 내부 시스템에 접근한 사실을 확인해 데이터 유출 여부를 추가로 조사했다고 전했다. 이 과정에서 개인정보와 의료정보가 유출됐을 가능성이 있어 잠재적으로 영향을 받은 개인에게 통지했다고 언급했다. 또한, 이번에 발표한 조사 결과에서 사건의 배후자를 밝히지 않았으나 "BlackCat" 측은 자신들이 피해 병원을 공격해 250만 명의 정보를 탈취했다고 주장했다.

 

캐나다 항공사 Air Canada, BianLian 랜섬웨어 피해 사례

10월 초, "BianLian" 측은 캐나다의 항공사 Air Canada에서 9월에 발생한 사이버 보안 침해 사건이 자신들의 소행이라고 주장했다. 해당 조직은 직접 운영하는 데이터 유출 사이트에 피해 업체를 공격했다는 글과 함께 탈취한 데이터 210GB를 공개했다. 또한, 공개한 데이터에는 직원 개인정보 외에도 협력 업체 정보와 내부 기밀문서 및 데이터베이스 정보 등이 있다고 소개했다. 한편, 피해 업체는 9월 중순에 개인정보 등의 데이터가 유출된 정황을 공지했고 현재까지 사건 관련 추가 정보는 공개하지 않았다.

 

미국 정보 통신 업체 CDW, LockBit 랜섬웨어 피해 사례

지난 10월 중순, 미국의 정보 통신 업체 CDW가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 외신은 피해 업체가 서버에서 의심스러운 활동을 감지해 조사하는 중이며, 이번 공격의 영향을 받은 개인에게 통보할 예정이라고 전했다. 한편, 자신들이 공격자라고 주장하는 "LockBit" 측은 직접 운영하는 데이터 유출 사이트에 피해 업체의 데이터를 공개했다. 이에 대해 8천만 달러 상당의 랜섬머니를 요구했으나 받아들여지지 않아 협상이 종료됐다고 언급하며 데이터 공개 이유를 밝혔다.

 

미국 에너지 업체 BHI Energy, Akira 랜섬웨어 피해 사례

미국의 에너지 업체 BHI Energy가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 피해 업체는 "Akira" 측이 사전에 탈취한 피해 업체의 계약자 계정으로 VPN을 이용해 시스템에 접근했다고 언급했다. 한편, "Akira" 측은 자신들이 공격했다고 주장하며 직원 개인정보를 포함한 약 690GB의 데이터를 탈취하고 파일을 암호화했다고 전했다. 현재, 피해 업체는 클라우드 백업 솔루션을 사용해 랜섬머니를 지불하지 않고도 시스템을 복원했다고 밝혔다.

 

캐나다 토론토 공공 도서관, BlackBasta 랜섬웨어 피해 사례

10월 말, 캐나다 토론토의 공공 도서관이 사이버 공격을 받아 온라인 서비스가 중단된 정황을 공개했다. 외신은 사건 당시에 도서관 홈페이지와 도서관 내의 공용 컴퓨터 및 인쇄 서비스 사용이 불가능했다고 전했다. 또한, 이번 사건의 조사 과정에서 발견한 랜섬노트를 근거로 공격 배후자를 "BlackBasta"로 추정한다고 언급했다. 현재, 피해 기관의 사이트에는 사건의 조사가 진행 중이며 손상된 시스템을 복원하고 있다는 내용이 게시됐고, 이어 분관은 정상적으로 운영한다고 공지했다.