2021년 2분기 랜섬웨어 동향 보고서
1. 랜섬웨어 피해 사례
2021년 2분기(4월 1일 ~ 6월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 "콘티(Conti)", "도플페이머(DoppelPaymer)", "소디노키비(Sodinokibi)" 등의 랜섬웨어로 인한 피해가 다수 발견되었다. 4월에는 영국 철도 네트워크 기업 Merseyrail이 "락빗(LockBit)" 랜섬웨어 공격을 받았고, 5월과 6월에는 캐나다 운송 업체 Canada Post와 대만 메모리 및 스토리지 제조업체 ADATA가 각각 "로렌즈(Lorenz)"와 "라그나락커(RagnarLocker)" 랜섬웨어 공격을 받아 피해가 발생했다.
소디노키비(Sodinokibi) 랜섬웨어 피해 사례
레빌(REvil)로도 불리는 소디노키비 랜섬웨어가 1분기에 이어 2분기에도 제조/공급 등 다양한 분야를 공격하며 활발한 활동을 보였다. 또한, NAS 환경을 대상으로 감염이 가능한 Linux 버전을 출시하는 등 소디노키비 랜섬웨어에 대한 지속적인 업데이트가 이뤄지고 있다.
인도 철강회사 Tata Steel 피해
4월 초, 인도 철강회사 Tata Steel이 랜섬웨어 공격을 받았다. 사건 당시 소디노키비 랜섬웨어 측은 피해 업체에 파일 복구를 위한 랜섬머니로 400만 달러를 요구했으며, 랜섬머니를 지불하지 않으면 탈취한 정보를 게시하겠다고 협박한 것으로 알려졌다. 현재, 사건과 관련한 추가 정보는 공개되지 않았고 소디노키비 측은 자신들이 Tata Steel을 공격했다고 주장하며 탈취한 정보를 직접 운영 중인 데이터 유출 사이트에 게시했다.
브라질 재판소 TJRS(Tribunal de Justiça do Estado do Rio Grande do Sul) 피해
5월 초, 브라질의 히우그란지 두술 주 법원이 랜섬웨어 공격을 받았다. 사건 직후, 피해 기관은 공식 트위터를 통해 직원들에게 법원 시스템에 접속하지 말 것을 공지했고, 중요도가 높은 시스템부터 복구를 시작했다. 현재, 피해 기관은 정상적으로 운영 중이며, 비슷한 시기에 브라질 고등법원(Superior Court of Justice)이 당한 랜섬웨어 공격과 유사한 지 조사 중이라고 언급했다.
미국 식품 가공 업체 JBS Foods 피해
미국 식품 가공 업체 JBS Foods가 사이버 공격을 받아 운영에 차질을 빚었다. 사건 직후, 피해 기업은 공식 발표를 통해 백업 서버가 암호화되지 않아 시스템 복구 절차를 진행할 수 있다고 밝혔다. 또한, FBI에서 이번 공격의 주체를 러시아와 연계된 조직으로 밝히며 이들 조직이 소디노키비 랜섬웨어를 사용해 피해 업체를 공격한 것으로 추정하고 있다. 현재 피해 기업은 손상된 시스템 대부분을 복구해 정상적으로 운영 중이며 피해 규모 등의 공격 관련 정보는 공개되지 않고 있다.
도플페이머(DoppelPaymer) 랜섬웨어 피해 사례
도플페이머 랜섬웨어는 비트페이머(BitPaymer) 랜섬웨어를 기반으로 만들어졌다. 첫 발견 당시에는 파일을 암호화한 후 랜섬머니를 요구했고, 현재는 수법이 발전해 데이터 탈취가 함께 이뤄진다. 2021년 2분기에는 미국의 정부 및 공공 기관을 공격한 사례들이 주를 이룬다.
미국 일리노이 주 법무 장관실 피해
지난 4월 초, 미국 일리노이 주 법무 장관실이 도플페이머 랜섬웨어의 공격을 받아 개인 문서 및 공공 정보를 포함한 기록이 유출됐다. 공격 당시에 피해 기관은 사이버 공격에 의해 네트워크가 손상되었다고 인정했지만, 자세한 정보는 공개하지 않았다. 하지만 4월 중순, 도플페이머 측에서 본인들이 일리노이 주 법무 장관실의 데이터를 탈취했으며 그 증거로 자신들이 운영하는 데이터 유출 사이트에 게시했다고 주장했다.
미국 캘리포니아 주 아즈사(Azusa) 경찰서 피해
지난 4월 말, 미국 캘리포니아 주의 아즈사 경찰서는 사이버 공격에 의해 고객들의 운전 면허증, 여권 번호, 금융 및 의료 정보 등이 포함된 데이터를 탈취당했다고 공식 발표했다. 하지만 LA 타임즈에서는 도플페이머가 자신들이 운영하는 데이터 유출 사이트에 게시한 해당 정보 외에도 기밀 정보원 정보, 범죄 현장 사진 등 더욱 중요한 자료들이 탈취 됐을 것이라고 전했다. 이에 대해 LA 카운티 보안관과 FBI를 포함한 수사관들이 해당 피해의 규모를 결정짓기 위해 조사 중이며 이번 공격이 아즈사 경찰서의 운영에 큰 영향을 주지 않았다고 밝혔다.
미국 캘리포니아 주 유바 카운티 피해
미국 캘리포니아 주의 유바 카운티가 지난 6월 초에 랜섬웨어 공격을 받아 네트워크 서비스 이용에 장애가 생겼다고 알렸다. 유바 카운티의 최고 정보 책임자는 피해 기관의 보안 담당관들이 랜섬웨어 공격을 감지한 즉시 대응해 큰 피해를 막을 수 있었다고 발표했다. 또한, 백업한 데이터를 사용해 시스템을 복구할 수 있었기에 랜섬머니를 지불할 필요가 없었다고 알렸다.
콘티(Conti) 랜섬웨어 피해 사례
콘티 랜섬웨어는 위자드 스파이더(Wizard Spider)라고 불리는 러시아 사이버 범죄 단체에 의해 운영되는 것으로 알려졌다. 주로 피싱 공격을 통해 트릭봇(TrickBot)과 바자로더(BazarLoader) 악성코드를 유포하고, 사용자 PC의 원격 액세스 권한을 획득한다. 그 후, 공격자의 서버에서 콘티 랜섬웨어를 다운로드해 사용자의 PC를 암호화 하고, 데이터를 탈취하여 랜섬머니를 요구한다.
미국 오클라호마 주 털사(Tulsa) 카운티 피해
5월경, 미국 오클라호마 주의 털사 카운티가 랜섬웨어 공격을 받았다. 이에 대해 털사 시장은 공격 당시 빠른 대처로 911 서비스와 같은 긴급 대응에는 영향을 미치지 않았지만 이메일을 통한 온라인 시스템 및 웹사이트 이용이 불가능 했다고 알렸다. 현재 피해 기관은 업무를 재개했으며 시에서 운영하는 페이스북에 고객 정보가 일부 탈취됐다는 내용의 글을 게시했다.
아일랜드 의료 기관 HSE(Health Service Executive) 피해
지난 5월 중순, 콘티 랜섬웨어는 아일랜드의 의료 기관인 HSE(Health Service Executive)를 공격해 아일랜드 전역의 의료 서비스에 지장을 주었다. 피해 기관 측은 이번 공격으로부터 시스템을 보호하고 보안 담당자와 피해를 파악하기 위해 모든 시스템을 종료하는 예방 조치를 취했다고 밝혔다. 콘티 측은 HSE로부터 암호화되지 않은 파일 약 700GB를 탈취했다고 주장하며 2,000만 달러의 랜섬머니를 요구했다. 하지만 아일랜드 총리는 언론 성명을 통해 랜섬머니를 지불하지 않기로 결정했다고 발표했다.
국내 대기업 북미 법인 피해
지난 5월경, 국내 대기업 북미 법인이 랜섬웨어 공격에 의해 데이터를 탈취 당한 것으로 확인됐다. 콘티 측은 자신들이 운영하는 데이터 유출 사이트에 피해 기업의 서버 정보를 게시했다. 피해 기업은 탈취된 정보는 중요한 정보가 아니며 아직까지 콘티 랜섬웨어로부터 랜섬머니를 요구하는 연락을 받지 못했다고 밝혔다.
2. 랜섬웨어 통계
2021년 2분기(4월 1일 ~ 6월 30일)에 활동이 많았던 랜섬웨어 TOP3의 구글 트렌드 검색어 조사 결과 콘티 랜섬웨어가 가장 많이 검색됐다. 특히 콘티 랜섬웨어는 2분기 동안 의료 기관 및 국내 대기업 등의 업체를 공격해 꾸준히 많은 검색량을 유지했다. 소디노키비 랜섬웨어의 검색량이 상승한 시기인 4월 3주 차에는 대만의 제조업체 Quanta의 피해사례가 있었다. 마지막으로 도플페이머는 4월 4주차와 6월 1주차에 검색량이 일부 증가했는데 이 시기에 캘리포니아 주 아즈사 경찰서와 유바 카운티가 공격을 당한 것과 연관이 있는 것으로 추정된다.
특히 콘티 랜섬웨어는 2분기 동안 꾸준히 검색량이 많았으며, 의료 기관 및 국내 대기업 등의 업체를 공격했다.
다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 23곳의 정보를 취합한 결과이다.
2021년 2분기(4월 1일 ~ 6월 30일)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 5월에 데이터 유출이 가장 많이 발생했고, 6월에는 이전 달에 비해 유출 건수가 감소하는 추이를 보였다.
2021년 2분기(4월 1일 ~ 6월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 52%로 가장 높은 비중을 차지했고, 프랑스와 영국이 각각 8%와 7%, 이탈리아와 캐나다가 6%와 5%씩으로 그 뒤를 따랐다.
2021년 2분기(4월 1일 ~ 6월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 도소매업/전자상거래 분야 및 기술/통신 분야가 그 뒤를 따랐다.