2024년 08월 랜섬웨어 동향 보고서
1. 랜섬웨어 통계
랜섬웨어 데이터 유출 통계
랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 33곳의 정보를 취합한 결과이다.
2024년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “RansomHub” 랜섬웨어가 71건으로 가장 많은 데이터 유출이 있었고, “LockBit” 랜섬웨어와 “Hunters International” 랜섬웨어가 각각 37건과 30건의 유출 사례를 기록했다.
2024년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 55%로 가장 높은 비중을 차지했고, 캐나다와 영국이 각각 6%와 5%로 그 뒤를 따랐다.
2024년 8월(8월 1일 ~ 8월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 건설/부동산 분야와 기술/통신 분야가 그 뒤를 따랐다.
2. 랜섬웨어 동향
국내/외 랜섬웨어 피해 사례
2024년 8월(8월 1일 ~ 8월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 미국의 비영리 신용협동조합 Patelco Credit Union에서 "RansomHub" 랜섬웨어의 공격으로 데이터가 유출된 정황이 발견됐다. 또한, 미국의 병원 Kootenai Health와 미국의 소프트웨어 솔루션 공급 업체 Young Consulting에서 각각 "3AM"과 "BlackSuit" 랜섬웨어 공격으로 운영이 중단된 정황이 알려졌다. 한편, 국내의 출판 물류 솔루션 공급 업체 모아시스에서 랜섬웨어 공격을 받았다고 전했으며, "Hunters International" 랜섬웨어가 국내의 자동차 부품 제조 업체 한온시스템을 공격했다고 주장한 정황이 전해졌다.
국내 출판 물류 솔루션 공급 업체 모아시스, 랜섬웨어 피해
지난 8월 초, 국내 출판 물류 솔루션 공급 업체 모아시스에서 랜섬웨어 공격으로 운영이 중단된 정황을 공지했다. 피해 업체는 공격자로부터 별도의 연락이 없어, 먼저 협상을 시도하는 메일을 발송하고 랜섬머니를 지불했다고 언급했다. 또한, 피해 이후 2022년도에 사용하던 구 서버로 복구를 시도했으나 기존 서버와 버전이 달라 구조적 오류가 발생했다고 덧붙였다. 이로 인해 최소 700개에 달하는 출판사와 100여 개의 물류사 간의 통신이 마비돼 도서 배송에 차질이 발생하는 등의 피해가 있었던 것으로 알려졌다. 현재, 피해 업체 측은 여전히 공격자로부터의 연락이 없는 상태이며 국내에 의뢰한 데이터 복구도 불가능할 것 같다고 전했다.
국내 자동차 부품 제조 업체 한온시스템, Hunters International 랜섬웨어 피해
8월 중순, "Hunters International" 조직에서 국내 자동차 부품 제조 업체 한온시스템을 공격했다고 주장했다. 조직은 피해 업체에서 2.3TB에 달하는 데이터를 탈취했다고 언급했으며, 이는 약 163만 개의 자료 분량으로 밝혀졌다. 또한, 유출된 데이터에는 임직원 178명의 이름과 생년월일 등의 개인정보가 포함된 것으로 전해졌다. 이 외에도 피해 업체의 자회사 채용 공고에 지원한 약 300건의 이력서에 기재된 개인정보도 함께 유출된 것으로 알려졌다.
미국 병원 Kootenai Health, 3AM 랜섬웨어 피해
미국의 병원 Kootenai Health에서 사이버 공격을 받아 시스템 운영이 중단된 정황을 공지했다. 피해 병원은 지난 2월에 공격을 받았으며, 3월 초에 그 사실을 인지해 특정 시스템의 운영을 중단시켰다고 언급했다. 또한, 공격 과정에서 이름과 사회보장번호 및 의료 기록 번호 등의 개인정보가 유출됐다고 전했다. 한편, "3AM" 측은 자신들의 소행이라고 주장하는 글을 게시했다. 해당 게시글에는 피해 병원에서 탈취한 22GB의 데이터 전체가 공개된 것으로 확인된다.
미국 비영리 신용협동조합 Patelco Credit Union, RansomHub 랜섬웨어 피해
미국의 비영리 신용협동조합 Patelco Credit Union에서 랜섬웨어 공격으로 데이터가 유출된 소식을 전했다. 지난달, 피해 업체는 랜섬웨어 공격에서 데이터를 보호하고자 약 2주간 은행 시스템의 운영을 중단했다고 공지했다. 공격 당시에는 데이터의 손상 여부를 확인하지 못했지만, 이후에 이뤄진 조사에서 유출된 데이터가 있음을 확인했다고 밝혔다. 유출된 데이터에는 고객 약 726,000명의 이름, 사회보장번호 및 운전면허증 번호 등의 개인정보가 포함됐다고 알렸다. 한편, "RansomHub" 측은 피해 업체와 2주간 협상을 진행했으나 합의에 이르지 못했다고 주장하며 탈취한 데이터를 공개한 것으로 확인된다.
미국 소프트웨어 솔루션 공급 업체 Young Consulting, BlackSuit 랜섬웨어 피해
8월 말, 미국의 소프트웨어 솔루션 공급 업체 Young Consulting에서 랜섬웨어 공격으로 개인정보가 유출된 정황이 발견됐다. 피해 업체는 지난 4월에 공격을 받아 시스템의 운영을 중단한 후 조사를 진행했다고 언급했다. 또한, 해당 공격으로 약 100만 명의 이름과 사회보장번호를 포함한 개인정보가 유출됐다고 덧붙였다. 한편, "BlackSuit" 측은 자신들이 피해 업체를 공격했다고 주장하며 데이터 유출 사이트에 탈취한 데이터 전체를 공개한 것으로 확인된다.