2024년 06월 랜섬웨어 동향 보고서
1. 랜섬웨어 통계
랜섬웨어 데이터 유출 통계
랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 36곳의 정보를 취합한 결과이다.
2024년 6월(6월 1일 ~ 6월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “RansomHub” 랜섬웨어가 82건으로 가장 많은 데이터 유출이 있었고, “Play” 랜섬웨어가 27건의 유출 사례를 기록했다.
2024년 6월(6월 1일 ~ 6월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 49%로 가장 높은 비중을 차지했고, 캐나다와 영국이 6%로 그 뒤를 따랐다.
2024년 6월(6월 1일 ~ 6월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야와 의료/제약 분야가 그 뒤를 따랐다.
2. 랜섬웨어 동향
국내/외 랜섬웨어 피해 사례
2024년 6월(6월 1일 ~ 6월 30일) 한 달간 랜섬웨어 동향을 조사한 결과, "Qilin" 랜섬웨어가 영국의 병리학 서비스 제공 업체 Synnovis를 공격한 정황이 발견됐다. 또한, 미국의 정보 통신 업체 Frontier Communications와 미국의 인쇄 회로 기판 제조 업체 Key Tronic에서 각각 "RansomHub"와 "BlackBasta" 랜섬웨어의 공격을 받았던 정황이 알려졌다. 한편, 호주 광산 업체 Northern Minerals와 미국 캔자스시티의 경찰국은 각각 "BianLian"과 "BlackSuit"의 공격으로 데이터가 유출된 정황이 전해졌다.
호주 광산 업체 Northern Minerals, BianLian 랜섬웨어 피해 사례
6월 초, 호주의 광산 업체 Northern Minerals에서 사이버 보안 사고로 데이터가 유출된 사실을 전했다. 유출된 데이터에는 업체의 내부 정보 외에도 직원과 주주의 개인정보가 포함됐다고 언급했다. 한편, 다크웹에 피해 업체의 데이터를 공개한 주체는 "BianLian" 조직으로 확인됐다. 현재까지도 조직의 데이터 유출 사이트에서는 피해 업체의 데이터 전체를 확인할 수 있다.
영국 병리학 서비스 제공 업체 Synnovis, Qilin 랜섬웨어 피해 사례
영국의 병리학 서비스 제공 업체 Synnovis가 랜섬웨어 공격을 받아 서비스가 중단된 소식을 알렸다. 피해 업체의 서비스 중단은 환자의 치료에 영향을 미쳤으며 특히 혈액 공급이 어려워 수혈에 어려움이 생긴 것으로 전해졌다. 영국 국민 보건 서비스(NSH)에서는 공격 발생 이틀 후부터 응급 서비스는 정상적으로 운영됐으나 일부 시스템은 복구에 몇 달 소요될 가능성이 있다고 전했다. 한편, "Qilin" 측은 자신들이 피해 업체를 공격해 600GB가 넘는 데이터를 탈취했다고 주장하면서 데이터 유출 사이트에 글을 게시했다. 현재, 해당 게시글에서는 약 440GB의 데이터가 공개된 것으로 확인된다.
미국 정보 통신 업체 Frontier Communications, RansomHub 랜섬웨어 피해 사례
미국의 정보 통신 업체 Frontier Communications에서 사이버 공격으로 시스템이 중단된 정황이 알려졌다. 피해 업체는 2개월 전에 발생한 공격으로 약 75만 명의 고객에게 개인정보 유출 사실을 공지한 것으로 전해졌다. 한편, "RansomHub" 측은 직접 운영하는 데이터 유출 사이트에 피해 업체를 공격했다고 주장하는 글을 게시했다. 해당 게시글에서는 고객 200만 명의 이름과 주민등록번호를 포함한 개인정보를 탈취했다고 언급했다. 또한, 2개월 동안 피해 업체와의 협상을 기다렸으나 실패했다고 덧붙이면서 데이터 전체를 공개한 것으로 확인된다.
미국 인쇄 회로 기판 제조 업체 Key Tronic, BlackBasta 랜섬웨어 피해 사례
6월 중순, 미국의 인쇄 회로 기판 제조 업체 Key Tronic이 랜섬웨어 공격으로 데이터가 유출된 정황을 공지했다. 피해 업체 측은 5월 초에 발생한 보안 사고로 2주간 운영이 중단됐으며, 현재는 복구해 정상 운영 중이라고 전했다. 또한, 공격자가 내부 데이터에 접근한 이력이 발견되면서 이번 공격으로 개인정보가 유출된 사실이 확인됐다고 언급했다. 이에 대해 "BlackBasta" 측은 해당 공격이 자신들의 소행이라고 주장하며 데이터 유출 사이트에 글을 게시했다. 해당 게시글에서는 피해 업체에서 530GB의 데이터를 탈취했다고 언급하면서 직원의 여권과 신분증 샘플 사진을 공개했다.
미국 캔자스시티 경찰국, BlackSuit 랜섬웨어 피해 사례
미국 캔자스시티의 경찰국이 "BlackSuit" 랜섬웨어 조직의 공격을 받아 데이터가 유출된 정황이 발견됐다. 해당 조직은 직접 운영하는 데이터 유출 사이트에 피해 기관의 데이터를 공개하면서 자신들이 공격해 탈취한 것이라고 언급했다. 또한, 공격자는 피해 기관에서 자발적으로 사건 파일 공개를 동의했다고 주장하면서 랜섬머니 지불 또한 거부했다고 전했다. 외신은 공개된 데이터에 피해 기관의 직원 정보와 특수 작전의 세부 사항 및 지문 데이터베이스 등의 민감 정보가 포함됐다고 보도했다. 특히 유출된 정보와 파일을 근거로 올해 6월까지 사용된 최신 정보로 확인된다고 덧붙였다.