2024년 10월 랜섬웨어 동향 보고서
1. 랜섬웨어 통계
랜섬웨어 데이터 유출 통계
랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 31곳의 정보를 취합한 결과이다.
2024년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “RansomHub” 랜섬웨어가 76건으로 가장 많은 데이터 유출이 있었고, “Play” 랜섬웨어가 48건의 유출 사례를 기록했다.
2024년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 57%로 가장 높은 비중을 차지했고, 캐나다와 인도가 각각 8%와 5%로 그 뒤를 따랐다.
2024년 10월(10월 1일 ~ 10월 31일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 건설/부동산 분야와 의료/제약 분야가 그 뒤를 따랐다.
2. 랜섬웨어 동향
국내/외 랜섬웨어 피해 사례
2024년 10월(10월 1일 ~ 10월 31일) 한 달간 랜섬웨어 동향을 조사한 결과, 국내 부동산 업체 서울프라퍼티인사이트가 "KillSec" 랜섬웨어의 공격을 받은 소식이 전해졌다. 또한, 일본의 전자 제품 제조 업체 Casio와 일본의 모터 제조 업체 Nidec이 각각 "UnderGround"와 "Everest" 랜섬웨어의 공격으로 데이터가 유출된 정황이 발견됐다. 한편, 미국의 보스턴 어린이 병원과 미국의 의료 업체 Henry Schein은 각가 "BianLian"과 "BlackCat" 랜섬웨어의 공격을 받은 정황이 알려졌다.
국내 부동산 업체 서울프라퍼티인사이트, KillSec 랜섬웨어 피해
10월 초, 올해 6월부터 활동한 "KillSec" 랜섬웨어 조직이 국내 부동산 업체 서울프라퍼티인사이트(SPI)를 공격한 정황이 발견됐다. 피해 업체 측은 보안 관제 업체로부터 연락받아 공격 사실을 인지하고 있었다고 입장을 전했다. 또한, 피해 업체의 개발팀 측은 사내 시스템 환경이 구글 시스템을 기반으로 구축되어 있어 해킹당할 수 없다고 언급하면서 대응 가치가 없다고 덧붙였다. 한편, "KillSec" 조직은 피해 업체를 공격해 개인 식별 정보와 세무 관련 정보 및 정부 발급 문서 등의 데이터를 탈취했다고 주장했다. 이에 대한 게시글이 조직의 데이터 유출 사이트에 게시됐으며, 현재는 탈취한 데이터 전체를 공개한 것으로 확인된다.
일본 전자 제품 제조 업체 Casio, UnderGround 랜섬웨어 피해
일본의 전자 제품 제조 업체 Casio에서 랜섬웨어 공격으로 데이터가 유출된 소식을 공지했다. 피해 업체는 해당 공격으로 시스템과 서비스 일부가 중단됐다고 밝혔다. 또한, 피해 업체와 관련 업체의 기밀 정보 외에도 개인정보가 유출됐다고 덧붙였다. 한편, "UnderGround" 측은 자신들이 피해 업체를 공격했다는 글을 직접 운영하는 데이터 유출 사이트에 게시했다. 이에 대한 근거로 약 200GB가 넘는 분량의 탈취한 데이터를 공개해 현재까지도 확인된다.
미국 보스턴 어린이 병원, BianLian 랜섬웨어 피해
10월 중순, 미국의 보스턴 어린이 병원이 랜섬웨어 공격을 받은 소식이 전해졌다. 피해 병원은 9월 초에 IT 공급 업체가 공격받았고, 그로부터 며칠 후 병원의 네트워크에서 비정상적인 활동이 감지됐다고 공지했다. 그 영향으로 직원과 환자의 이름, 사회보장번호 등의 개인정보와 의료 정보 등이 유출됐을 수 있다고 언급했다. 한편, "BianLian" 측은 10월 초에 자신들이 운영하는 데이터 유출 사이트에 피해 병원에서 탈취한 데이터를 보유하고 있다는 글을 게시했다. 해당 게시글에는 탈취한 데이터의 목록이 있었던 것으로 알려졌으나, 현재는 글이 삭제된 것으로 확인된다.
일본 모터 제조 업체 Nidec, Everest 랜섬웨어 피해
일본의 모터 제조 업체 Nidec에서 사이버 공격으로 데이터가 유출된 소식을 전했다. 피해 업체는 지난 8월에 베트남 자회사 시스템이 공격받는 사건이 발생했으며 그 영향으로 내부 정보가 유출됐다고 언급했다. 유출된 데이터는 내부 문서와 계약서 등이 포함된 약 5만 개의 파일이라고 덧붙였다. 또한, 공격에 대해서는 공격자가 탈취한 직원의 VPN 계정을 이용해 시스템에 접근한 것으로 추정된다고 설명했다. 한편, "Everest" 조직은 자신들의 소행이라고 주장하면서 데이터 유출 사이트에 피해 업체의 데이터 약 58GB를 공개한 것으로 확인된다.
미국 의료 업체 Henry Schein, BlackCat 랜섬웨어 피해
10월 말, 미국의 의료 업체 Henry Schein에서 1년 전에 발생한 랜섬웨어 공격으로 데이터가 유출된 정황을 공지했다. 피해 업체는 작년 10월에 공격받아 시스템의 운영이 중단됐으며, 당시에 16만 명 이상의 개인정보가 유출된 것을 확인했다고 전했다. 사건 당시에 "BlackCat" 측은 자신들의 소행이며 35TB에 달하는 데이터를 탈취했다고 주장했다고 알려졌다. 또한, 조직에서 피해 업체와의 협상이 실패하면서 다시 한 번 더 공격했다고 주장한 것으로 전해졌다. 한편, 이후에 또 다른 공격이 있었는지는 알려진 바가 없으며 현재는 조직의 데이터 유출 사이트가 폐쇄돼 게시글의 확인이 불가하다.