2024년 1분기 랜섬웨어 동향 보고서

1. 랜섬웨어 피해 사례

2024년 1분기(1월 1일 ~ 3월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 블랙캣(BlackCat)과 락빗(LockBit) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 1월에는 미국의 샌드위치 전문 레스토랑 Subway가 락빗 랜섬웨어 공격을 받았고, 2월과 3월에는 미국 금융 업체 LoanDepot과 벨기에의 맥주 제조 업체 Duvel Moortgat Brewery가 각각 블랙캣과 스토머스(Stormous) 랜섬웨어 공격을 받아 피해가 발생했다.

 

[그림 1] 2024년 1분기 랜섬웨어 동향

 

캑터스(Cactus) 랜섬웨어 피해 사례

2024년 1분기에는 캑터스 랜섬웨어의 공격이 피해 업체의 운영에 영향을 미치는 피해 사례가 다수 발생했다. 캑터스 랜섬웨어는 2023년 3월부터 활발한 활동을 보였으며, 특히 시스템에 초기 접근하는 방법으로 VPN 장비의 알려진 결함을 악용한 것이 알려졌다.

 

[그림 2] 2024년 1분기 캑터스 랜섬웨어 피해 사례

 

스웨덴 식료품 공급 업체 Coop 피해

스웨덴의 식료품 공급 업체 Coop에서 사이버 공격을 받아 개인정보가 유출된 정황을 공개했다. 피해 업체는 작년 12월 말부터 시작된 공격으로 매장의 카드 결제 등 시스템이 영향을 받았다고 공지했다. 또한, 직원 채용 정보와 고객의 이름, 주소 및 사회보장번호 등 개인정보가 유출됐다고 전했다. 이에 대해 캑터스 측은 자신들이 피해 업체를 공격해 약 21,000개가 넘는 개인정보를 탈취했다고 주장했다. 현재는 데이터 유출 사이트에 257GB에 달하는 피해 업체의 데이터가 공개된 것으로 확인된다.

 

프랑스 에너지 공급 업체 Schneider Electric 피해

프랑스의 에너지 공급 업체 Schneider Electric에서 사이버 공격으로 데이터가 유출된 정황을 공개했다. 외신은 공격자가 1월 중순부터 피해 업체의 특정 사업부를 공격한 것으로 확인했다고 전했다. 이후 피해 업체는 해당 사업부에 국한된 사고이며 조사 과정에서 데이터가 유출된 정황을 발견했다고 공지했다. 한편, 캑터스 측은 여권 사진과 비공개 계약 문서 사진을 게시하며 피해 업체를 공격해 데이터를 탈취했다고 주장했다. 현재, 캑터스의 데이터 유출 사이트에서는 피해 업체의 데이터 1.5TB가 공개되어 있다.

 

미국 의료 업체 Petersen Health Care 피해

지난 3월, 캑터스의 공격을 받았던 미국의 의료 업체 Petersen Health Care의 근황이 전해졌다. 해당 공격은 피해 업체의 운영에 영향을 미쳤을 뿐만 아니라 데이터 유출로 이어진 것으로 알려졌다. 당시 캑터스 측은 여권 사진을 포함한 문서를 근거로 자신들의 소행을 주장했다. 이후 1.2TB에 달하는 데이터를 데이터 유출 사이트에 공개한 것이 확인됐다. 한편, 피해 업체는 이번 공격으로 악화된 재정적 부담과 정부 지원 대출 불이행으로 파산 신청했다.

 

 

락빗(LockBit) 랜섬웨어 피해 사례

지난 1분기에 락빗은 국제 법 집행 기관에서 진행한 크로노스 작전(Operation Cronos)으로 랜섬웨어 인프라가 폐쇄됐다. 당시에 락빗이 사용하던 PHP 버전에 취약점이 있어 이를 이용한 것으로 알려졌다. 하지만 폐쇄 5일 후, 락빗은 새로운 데이터 유출 사이트로 옮겨 활동을 재개해 현재까지 90개가 넘는 피해자 게시글이 게시됐다.

 

[그림 3] 2024년 1분기 락빗 랜섬웨어 피해 사례

 

미국 샌드위치 전문 레스토랑 Subway 피해

락빗 측에서 미국의 샌드위치 전문 레스토랑 Subway를 공격해 데이터를 탈취했다는 글을 데이터 유출 사이트에 게시했다. 또한, 해당 글을 통해 피해 레스토랑에서 직원 급여와 레스토랑 매출액 및 가맹점 관련 정보 등의 민감 정보를 탈취했다고 주장했다. 당시 락빗은 탈취한 데이터를 2월 초에 공개하겠다고 피해 레스토랑을 위협한 것으로 알려졌으나 현재는 데이터 유출 사이트에서 해당 게시글이 확인되지 않는다.

 

미국 은행 Bank of America 피해

미국의 은행 Bank of America에서 서비스 제공 업체가 겪은 사이버 보안 사고의 영향으로 데이터가 유출된 정황을 전했다. 피해 은행은 사고 당시 서비스 제공 업체로부터 데이터의 손상 가능성을 전달받았다고 언급했다. 이후 진행된 조사에서 은행 고객의 이름과 사회보장번호 등 개인정보가 유출된 사실을 확인했다고 덧붙였다. 이에 영향을 받은 약 5만 명에게 서면으로 관련 내용을 공지한 것으로 알려졌다. 한편, 락빗 측은 해당 사건이 작년 11월에 발생했으며, 자신들의 소행이라고 주장하면서 탈취한 데이터를 공개했었다.

 

미국 금융 업체 EquiLend Holdings 피해

미국의 금융 업체 EquiLend Holdings에서 랜섬웨어 공격으로 중단된 시스템의 복구 완료 소식을 공지했다. 피해 업체는 해당 공격이 발생한 이후에 영향을 받은 시스템의 복구 진행 현황을 수시로 홈페이지에 전했다. 또한, 랜섬웨어 공격을 받았다고 언급했으나 공격의 배후에 대해서는 따로 밝히지 않았다. 이에 대해 외신은 락빗 측에서 자신들의 소행이라고 주장한 정황을 보도했다. 한편, 피해 업체는 직원들에게 개인정보와 급여 정보 등이 유출된 사실을 확인해 메일로 관련 소식을 알린 것으로 전해졌다.

 

 

기타 랜섬웨어 피해 사례

2024년 1분기에는 블랙캣(BlackCat)과 스토머스(Stormous) 등 다양한 랜섬웨어의 피해 사례가 발생했다. 특히 블랙캣 측이 FBI에서 사이트와 인프라를 압수한 것처럼 위장한 후 출구 사기를 행하는 사실이 알려졌다. 이로 인해 최근 블랙캣의 계열사라고 주장하는 사람들이 블랙캣 관리자가 계열사의 계정을 정지하고 피해 업체의 랜섬머니를 가져가는 행위에 불만을 토로했다.

 

[그림 4] 2024년 1분기 기타 랜섬웨어 피해 사례

 

미국 보안 업체 Ultra Intelligence & Communications 피해

미국의 보안 업체인 Ultra Intelligence & Communications가 사이버 공격을 받아 스위스 공군 소유의 데이터가 유출됐다. 블랙캣 측은 자신들이 공격했다고 주장하며 약 30GB에 달하는 데이터를 게시했다. 또한 유출된 문서에는 스위스 국방부와 보안 업체 사이에 거의 500만 달러에 달하는 계약이 포함된 것으로 알려졌다. 하지만 연방 국방부는 이번 사건으로 군대의 작전 시스템에는 영향을 받지 않았다고 언급했다. 현재, 블랙캣 측의 유출 사이트는 운영이 중단돼 해당 게시물의 확인이 불가능한 상태이다.

 

벨기에 맥주 제조 업체 Duvel Moortgat Brewery 피해

벨기에의 맥주 제조 업체 Duvel Moortgat Brewery에서 사이버 공격으로 생산이 중단됐다고 밝혔다. 피해 업체의 대변인은 자동화된 위협 탐지 시스템에 랜섬웨어 공격이 표시됐고 생산이 즉시 중단됐다고 언급했다. 이후 생산 재가동 여부는 아직 알 수 없지만, 창고에 재고가 확보돼 유통에는 영향이 없을 것이라고 덧붙였다. 한편, 스토머스 랜섬웨어 조직은 자신들이 공격했다고 주장하며 운영하는 사이트에 약 88GB의 데이터를 게시했다. 외신은 생산 중단으로 잠재적 가격 인상에 대해 우려했지만, 이틀 후 바로 현장 생산이 재개돼 생산에 큰 피해는 없는 것으로 확인됐다.

 

미국 의료 플랫폼 제공 업체 Change Healthcare 피해

미국의 의료 플랫폼 제공 업체인 Change Healthcare가 사이버 공격을 받아 시스템에 영향을 미쳤다고 공개했다. 이로 인해 약 2주 동안 시스템에 지속적인 중단이 발생했으며, 일부 서비스가 오프라인 상태로 변경됐다고 언급했다. 블랙캣 랜섬웨어 조직은 자신들이 피해 업체를 공격해 약 6TB에 달하는 데이터를 탈취했다고 주장했다. 해당 데이터에는 PII 데이터, 의료 기록 및 현역 요원의 개인 정보가 포함된 것으로 알려졌다. 한편, 피해 업체는 블랙캣 측에 랜섬머니로 2,200만 달러를 지불했으며 전자 처방전 시스템을 복구했다고 밝혔다.

 

 

2. 랜섬웨어 통계

2024년 1분기(1월 1일 ~ 3월 31일)에 활동이 많았던 랜섬웨어의 구글 트렌드 검색어 조사 결과 락빗(LockBit) 랜섬웨어가 가장 많이 검색됐다. 세 랜섬웨어 모두 2월 4주차에 검색량 최고치를 달성했다. 특히 락빗 랜섬웨어는 크로노스 작전으로 인프라가 폐쇄되고 다시 활동을 재개하는 일이 있었다. 캑터스(Cactus) 랜섬웨어는 프랑스의 자동화 제조 기업인 Schneider Electric 피해 사례가 있었다. 마지막으로 블랙캣(BlackCat) 랜섬웨어는 미국의 의료 플랫폼 제공 업체 Change Healthcare 피해 사례가 있었다.

 

[그림 5] 구글 트렌드 - 분기별 랜섬웨어 관심도 비교

 

다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 44곳의 정보를 취합한 결과이다. 2024년 1분기(1월 1일 ~ 3월 31일)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 3월에 데이터 유출이 가장 많이 발생했다.

 

[그림 6] 2024년 1분기 월별 데이터 유출 현황

 

2024년 1분기(1월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 국가별로 비교했을 때 미국이 54%로 가장 높은 비중을 차지했고, 영국이 6%, 캐나다가 5%로 그 뒤를 따랐다.

 

[그림 7] 2024년 1분기 국가별 데이터 유출 비율

 

2024년 1분기(1월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 산업별로 비교했을 때 제조/공급 분야가 가장 많은 공격을 받았고, 건설/부동산 분야가 그 다음으로 많은 공격을 받았다. 또한, 의료/제약 분야가 그 뒤를 따랐다.

 

[그림 8] 2024년 1분기 산업별 데이터 유출 현황