2021년 1분기 랜섬웨어 동향 보고서
1. 랜섬웨어 피해 사례
2021년 1분기(1월 1일 ~ 3월 31일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “다크사이드(DarkSide)”, “도플페이머(DoppelPaymer)”, “소디노키비(Sodinokibi)” 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 1월에는 윈도우 유틸리티 개발 기업 Iobit이 “데로HE(DeroHE)” 랜섬웨어 공격을 받았고, 2월과 3월에는 미국 자동 자금 이체 서비스(AFTS)와 폴란드 게임 개발 기업 CD Projekt가 각각 “쿠바(Cuba)”와 “헬로키티(HelloKitty)” 랜섬웨어 공격을 받아 피해가 발생했다.
다크사이드(DarkSide) 랜섬웨어 피해 사례
최근 다크사이드 랜섬웨어 운영진이 새로운 변종을 공개했다. 해당 랜섬웨어 운영진에 따르면, 기존에 사용 중이던 버전보다 암호화 속도가 빨라졌으며 감염된 PC의 사용자들이 랜섬머니를 지불하지 않을 경우 추가적인 압력을 가하기 위해 VoIP 통화 기능도 제공한다고 알렸다.
브라질 전력 업체 Eletrobras와 Copel 피해
2월 초, 비슷한 시기에 브라질 전력 업체 Eletrobras와 Copel이 랜섬웨어 공격을 받았다. Eletrobras는 공식 발표를 통해 일부 시스템이 영향을 받았지만 다행히도 손상된 서버와 원자력 발전소 시스템이 분리돼 있어 전력 공급에는 문제가 없다고 알렸다. 현재 다크사이드 랜섬웨어 측은 피해를 입은 두 업체 중 Copel의 데이터를 탈취했다고 주장하며 그 일부를 직접 운영하는 데이터 유출 사이트에 게시했다.
캐나다 렌터카 업체 Discount Car and Truck Rentals 피해
캐나다 렌터가 업체인 Discount Car and Truck Rentals가 사이버 공격을 받아 웹 사이트의 접속이 제한되는 사건이 발생했다. 외신에 따르면 해당 업체의 공격에 사용된 악성코드는 다크사이드 랜섬웨어로 알려졌으며, 당시 피해 업체는 관련 사건을 조사 중이며 손상을 입은 시스템은 복원 중이라고만 언급했다. 현재, 다크사이드 랜섬웨어의 운영진은 해당 업체로부터 약 120GB의 암호화되지 않은 데이터를 탈취했다고 주장하며 그 일부를 직접 운영하는 데이터 유출 사이트에 게시했다.
미국 관리 서비스 제공 업체 CompuCom 피해
지난 3월 초, 미국 관리 서비스 제공 업체 CompuCom이 사이버 공격을 받아 서비스가 중단되고 웹 사이트 접속이 제한됐다. 피해 업체는 사고 직후 이번 공격과 관련한 조사와 손상된 서비스 복구를 시작했으며, 이후 조사 결과를 자사 고객들에게만 공개한 것으로 알려졌다.
도플페이머(DoppelPaymer) 랜섬웨어 피해 사례
도플페이머 랜섬웨어는 파일 복구를 대가로 한 랜섬머니와 피해 기업에서 탈취한 데이터를 판매하여 이득을 남기는 이중 갈취 전략을 사용한다. 해당 랜섬웨어는 2020년부터 주로 자금이 충분한 기업 및 정부를 대상으로 유포되었으며, 많은 금액의 랜섬머니를 요구하는 특징이 있다.
포장 및 유통 기업 WestRock 피해
1월 말, 미국의 골판지 포장 및 유통 기업 WestRock이 랜섬웨어의 공격을 받아 IT망 뿐만 아니라 산업 운영 관리 시스템인 OT망도 영향을 받았다. 공격 당시에 WestRock은 업무 정상화를 위해 복구를 서두르고 있으며, 추후 발생할 피해를 막기 위해 새로운 대책을 강구 중이라고 공식적으로 발표했다.
국내 자동차 기업 미국 법인 피해 추정
2월경, 국내 자동차 기업의 미국 법인이 사이버 공격을 받아 고객 지원 서비스 및 모바일 앱이 중단됐다. 당시 해당 업체의 서비스 중단으로 인해 온라인 커뮤니티에서는 랜섬웨어 공격일 것이라는 추측이 난무했지만 피해 업체는 공식 발표를 통해 랜섬웨어 공격을 받았다는 증거가 없음을 확인했다고 일축했다. 하지만 도플페이머 랜섬웨어 측은 직접 운영하는 데이터 유출 사이트에 피해 업체로부터 획득했다고 주장하는 자료의 일부를 게시하며 약 3천만 달러의 랜섬머니를 요구한 것으로 알려졌다.
네덜란드 과학연구기구(NWO) 피해
2월 말, 네덜란드 과학연구기구(NWO)가 랜섬웨어 공격을 받아 서버를 오프라인으로 전환하고, 연구 보조금 할당을 위한 프로세스를 중단한다고 공지했다. 도플페이머 측은 파일 복구 및 탈취된 정보를 유출하지 않겠다는 조건으로 랜섬머니를 요구했으나, 해당 기관은 공식 발표를 통해 범죄자들의 요구사항을 들어주지 않기로 결정했다고 알렸다. 현재 NWO는 손상된 네트워크 복구를 완료하여 정상 운영 중이다.
소디노키비(Sodinokibi) 랜섬웨어 피해 사례
레빌(REvil)로도 불리는 소디노키비 랜섬웨어는 2021년 3월 한달 동안 아프리카, 유럽, 멕시코 및 미국 전역의 9개 조직을 공격하는 등 활발한 활동을 보였다. 최근 소디노키비 랜섬웨어 운영진은 파일 암호화와 함께 유료 서비스로 DDoS 공격을 추가하여 판매 중이며, 윈도우 안전 모드에서도 파일을 암호화하는 기능을 추가했다.
아시아 소매 기업 Dairy Farm Group 피해
1월경, 소디노키비 랜섬웨어 측이 아시아 소매 기업 Dairy Farm Group을 공격하여 네트워크에 대한 액세스 권한을 탈취 했으며 파일 복구를 위한 랜섬머니로 3,000만 달러를 요구했다고 주장했다. 이번 공격에 대해 Dairy Farm은 회사 장치의 극소수만이 영향을 받았고, 추가적인 모니터링 시스템을 강화했다고 밝혔다.
IT 인프라 및 관리 서비스 기업 Standley System 피해
2월경, 소디노키비 랜섬웨어는 IT 인프라 및 관리 서비스 기업인 Standley System을 공격해 1,000건 이상의 고객 정보를 탈취했다. 소디노키비는 탈취한 데이터를 자신들이 운영하는 데이터 유출 사이트가 아닌 클라우드 서비스 제공 사이트에 게시했다. 현재 탈취된 데이터가 업로드 된 사이트는 접속이 불가능하며 이는 피해 기업이 추가 데이터 유출을 막기 위해 게시 중단을 요청한 것으로 추정된다.
전자 제품 및 컴퓨터 제조 기업 Acer 피해
3월, 소디노키비 랜섬웨어 조직이 Acer를 공격해 탈취한 데이터 일부를 직접 운영하는 데이터 유출 사이트에 이미지 파일로 게시했다고 주장하며, 랜섬머니로 역대 최고가인 5,000 만 달러를 요구한 것으로 알려졌다. Acer 측은 조사가 진행중이라 밝혔으며 소디노키비 랜섬웨어의 공격을 받았는지 여부에 대한 명확한 답변은 제공하지 않았다.
2. 랜섬웨어 통계
2021년 1분기(1월 1일 ~ 3월 31일)에 활동이 많았던 랜섬웨어 TOP3의 구글 트렌드 검색어 조사 결과 소디노키비 랜섬웨어가 가장 많이 검색됐다. 특히 소디노키비 랜섬웨어의 3월 검색량이 급격히 상승했는데 이 시기에 대만의 Acer와 유럽 및 미국의 기업 다수가 사이버 공격을 당했다. 다크사이드 랜섬웨어의 검색량이 상승한 시기인 3월 1주 차에는 미국의 관리 서비스 제공 업체 CompuCom 의 피해사례가 있었다. 마지막으로 도플페이머는 2월 3주차부터 4주차까지 검색량이 상승했으며 이 시기에 국내 자동차 기업의 미국 법인이 사이버 공격을 당한 것과 연관이 있는 것으로 추정된다.
다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 19곳의 정보를 취합한 결과이다.
2021년 1분기(1월 1일 ~ 3월 31일)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 증가한 추이를 보이며 3월에 데이터 유출이 가장 많이 발생했다.
2021년 1분기(1월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 60%로 가장 높은 비중을 차지했고, 캐나다와 프랑스가 각각 8%와 5%, 이탈리아와 독일이 각각 4%씩으로 그 뒤를 따랐다.
2021년 1분기(1월 1일 ~ 3월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야 및 도소매업/전자상거래 분야가 그 뒤를 따랐다.