2024년 05월 랜섬웨어 동향 보고서

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 38곳의 정보를 취합한 결과이다.

2024년 5월(5월 1일 ~ 5월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “LockBit” 랜섬웨어가 154건으로 가장 많은 데이터 유출이 있었고, “Play” 랜섬웨어와 “INC Ransom” 랜섬웨어가 31건의 유출 사례를 기록했다.

 

[그림  1] 2024 년  5 월 진단명별 데이터 유출 현황

 

2024년 5월(5월 1일 ~ 5월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 46%로 가장 높은 비중을 차지했고, 영국과 캐나다가 각 8%와 5%로 그 뒤를 따랐다.

 

[그림  2] 2024 년  5 월 국가별 데이터 유출 비율

 

2024년 5월(5월 1일 ~ 5월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 건설/부동산 분야와 도소매업/전자상거래 분야가 그 뒤를 따랐다.

 

[그림  3] 2024 년  5 월 산업별 데이터 유출 현황

 

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2024년 5월(5월 1일 ~ 5월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, "BlackBasta" 랜섬웨어가 미국의 연료 유통 업체 Atlas Oil을 공격한 정황이 발견됐다. 또한, 영국의 방위 업체 Chemring Group과 캐나다의 약국 London Drugs에서 각각 "Medusa"와 "LockBit" 랜섬웨어의 공격을 받은 정황이 전해졌다. 한편, 미국의 조지아 공과대학교와 미국의 병원 Singing River Health System은 각각 "Clop"과 "Rhysida"의 공격으로 데이터가 유출된 정황이 알려졌다.

 

[그림  4]  국내 / 외 랜섬웨어 피해 타임라인

 

미국 조지아 공과대학교, Clop 랜섬웨어 피해

5월 초, 미국의 조지아 공과대학교에서 작년에 "Clop" 랜섬웨어 공격을 받아 데이터가 유출된 정황을 알렸다. 해당 공격은 당시에 피해 학교에서 사용하던 MOVEit Transfer의 취약점을 이용한 것이라고 언급했다. 이로 인해 사회보장번호와 은행 계좌번호 등을 포함해 약 80만 명의 개인정보가 유출됐다고 덧붙였다. 이에 대해 "Clop" 측은 자신들이 운영하는 토렌트 사이트에 피해 학교에서 탈취한 데이터 전체를 공개했다.

 

영국 방위 업체 Chemring Group, Medusa 랜섬웨어 피해

영국의 방위 업체 Chemring Group이 "Medusa" 랜섬웨어 조직의 공격을 받은 정황이 발견됐다. 조직은 피해 업체에서 기밀 문서와 데이터베이스를 포함해 약 187GB의 데이터를 탈취했다고 주장했다. 이에 대한 근거로 문서 파일과 설계 파일 일부의 이미지를 공개했다. 또한, 피해 업체에게 탈취한 데이터를 빌미로 5월 16일까지 350만 달러를 요구한 것으로 알려졌다. 현재는 "Medusa" 조직이 운영하는 데이터 유출 사이트에 피해 업체의 전체 데이터가 공개된 것으로 확인된다.

 

미국 병원 Singing River Health System, Rhysida 랜섬웨어 피해

5월 중순, 미국의 병원 Singing River Health System에서 랜섬웨어 공격으로 데이터가 유출된 정황을 공지했다. 피해 병원은 작년 8월에 발생한 보안 사고에서 약 90만 명의 개인정보가 유출됐을 가능성이 있다고 전했다. 여기에는 이름과 사회보장번호 및 의료 정보 등이 포함된 것으로 추정되며, 이를 오용한 징후는 없다고 덧붙였다. 한편, "Rhysida" 측은 자신들이 운영하는 데이터 유출 사이트에 피해 병원의 게시글을 등록했다. 해당 게시글에는 내부 문서와 여권 사진 등 샘플 파일이 공개됐으며, 현재는 80% 정도의 데이터가 유출된 것으로 확인된다.

 

미국 연료 유통 업체 Atlas Oil, BlackBasta 랜섬웨어 피해

"BlackBasta" 랜섬웨어 조직이 미국의 연료 유통 업체인 Atlas Oil을 공격한 정황이 발견됐다. 해당 조직은 직접 운영하는 데이터 유출 사이트에 피해 업체의 글을 게시하면서 공격 사실을 주장했다. 또한, 피해 업체의 직원 정보와 내부 자료를 포함해 약 730GB에 달하는 데이터를 탈취했다고 언급하며 샘플 문서를 공개했다. 한편, 피해 업체 측은 해당 랜섬웨어 공격으로 이름과 이메일 주소 등의 개인정보가 유출됐을 가능성이 있다고 전했다. 현재는 이에 대한 최대한의 조치 후 사이버 보안 전문가의 지원을 받아 사건 조사를 진행 중이라고 덧붙였다.

 

캐나다 약국 London Drugs, LockBit 랜섬웨어 피해

캐나다의 약국 London Drugs에서 사이버 공격을 받은 정황이 발견됐다. 피해 약국은 이번 공격으로 캐나다 서부 지역의 모든 소매점을 폐쇄했다고 전했다. 또한, 외신에 공유한 성명에서 공격자가 탈취한 본사 파일에 직원 정보가 포함될 수 있다고 언급했다. 이에 대해 "LockBit" 측은 자신들이 공격했다고 주장하면서 피해 약국과 협상을 시도했으나 실패했다고 주장했다. 현재, 해당 조직의 데이터 유출 사이트에는 피해 약국에서 탈취한 데이터 전체가 공개된 것으로 확인된다.