2024년 11월 랜섬웨어 동향 보고서
1. 랜섬웨어 통계
랜섬웨어 데이터 유출 통계
랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 46곳의 정보를 취합한 결과이다.
2024년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “RansomHub” 랜섬웨어가 88건으로 가장 많은 데이터 유출이 있었고, “KillSec” 랜섬웨어와 “Akira” 랜섬웨어가 각각 44건과 35건의 유출 사례를 기록했다.
2024년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 55%로 가장 높은 비중을 차지했고, 영국이 5%로 그 뒤를 따랐다.
2024년 11월(11월 1일 ~ 11월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야와 건설/부동산 분야가 그 뒤를 따랐다.
2. 랜섬웨어 동향
국내/외 랜섬웨어 피해 사례
2024년 11월(11월 1일 ~ 11월 30일) 한 달간 랜섬웨어 동향을 조사한 결과, 국내 에너지 업체가 "Ra Group" 랜섬웨어의 공격을 받은 소식이 전해졌다. 또한, 미국 로스엔젤레스 주택청 기관과 오하이오주 콜롬버스시 행정 기관이 각각 "Cactus"와 "Rhysida" 랜섬웨어의 공격으로 데이터가 유출된 정황이 발견됐다. 한편, 미국의 병원 Memorial Hospital and Manor와 이탈리아의 축구팀 볼로냐 FC 1909는 각각 "Embargo"와 "RansomHub" 랜섬웨어의 공격을 받은 정황이 알려졌다.
미국 로스엔젤레스 주택청 기관, Cactus 랜섬웨어 피해
11월 초, 미국의 로스앤젤레스 주택청 기관에서 "Cactus" 랜섬웨어 조직의 공격으로 데이터가 유출된 정황이 발견됐다. "Cactus" 조직은 자신들이 피해 기관을 공격해 891GB에 달하는 파일을 탈취했다고 주장하는 글을 데이터 유출 사이트에 게시했다. 또한, 주장의 근거로 문서 사진을 공개하면서 실제 데이터베이스 백업 파일과 재무 문서 및 회사 기밀 정보를 탈취했다고 언급했다. 현재는 샘플 파일 외에도 탈취한 데이터 전체가 공개된 것으로 확인된다. 한편, 피해 기관 측은 공격받은 사실을 인지하자마자 대응했으며, 민감 정보의 유출 여부는 조사하고 있다는 입장을 전했다.
미국 병원 Memorial Hospital and Manor, Embargo 랜섬웨어 피해
미국의 병원 Memorial Hospital and Manor에서 랜섬웨어 사고가 발생한 소식을 전했다. 피해 병원은 지난 토요일 아침에 병원 시스템에 설치된 바이러스 보호 소프트웨어에서 위협 경고를 발견했다고 언급했다. 이후에 랜섬웨어 사고임을 확인했으며, 대응하기 위해 전자 건강 기록(EHR) 시스템의 사용을 중단하고 종이 기반 시스템으로 전환했다고 덧붙였다. 한편, "Embargo" 조직은 직접 운영하는 데이터 유출 사이트에 자신들이 피해 병원을 공격해 데이터를 탈취했다고 주장하는 글을 게시했다. 현재까지도 해당 게시글에는 샘플 파일인 여권 사진과 함께 1.5TB의 데이터가 공개된 것으로 확인된다.
미국 오하이오주 콜럼버스시 행정 기관, Rhysida 랜섬웨어 피해
미국 오하이오주의 콜럼버스시 행정 기관에서 랜섬웨어 공격으로 데이터가 유출된 정황이 발견됐다. 콜럼버스시 행정 기관은 공격이 발생한 지난 7월 당시에는 어느 시스템도 암호화되지 않았다고 언급했다. 이후, 공격 발생으로부터 약 3개월이 지난 시점에서 50만 명에게 이름과 은행 계좌 정보 등의 개인정보가 유출된 사실을 통지한 것으로 알려졌다. 한편, "Rhysida" 조직은 자신들의 소행이며, 6.5TB의 데이터를 탈취했다고 주장했다. 조직 측은 탈취한 데이터의 공개를 빌미로 랜섬머니를 요구했으나 협상이 이뤄지지 않자 3.1TB의 데이터를 공개한 것으로 확인된다.
국내 에너지 업체, Ra Group 랜섬웨어 피해
지난해 4월부터 활동을 시작한 "Ra Group" 랜섬웨어 조직이 국내 에너지 업체를 공격해 700GB의 데이터를 탈취했다고 주장했다. 또한, 탈취한 데이터에는 업무용 연락망과 부서별 데이터 및 내부 파일 등이 포함됐다고 언급했다. 조직은 해당 주장의 근거로 PDF와 엑셀 등의 문서 파일과 여권 사진 등의 샘플 파일 80개를 공개했다. 일각에서는 공개된 파일 전체에서 인사 담당자의 이름이 발견되면서 채용 관련 이메일을 통해 악성코드에 감염된 것이라는 추측이 전해졌다. 현재까지는 조직의 사이트에 데이터 전체가 공개되지 않았으며, 오는 10일에 공개될 예정인 것으로 확인된다.
이탈리아 축구팀 볼로냐 FC 1909, RansomHub 랜섬웨어 피해
11월 말, 이탈리아의 축구팀 볼로냐 FC 1909에서 내부 보안 시스템이 랜섬웨어 공격을 받은 정황을 공지했다. 피해 축구팀은 공격의 영향으로 내부 정보가 유출됐으며, 해당 데이터를 소유하거나 유포하지 말 것을 당부했다. 한편, "RansomHub" 조직 측은 자신들이 피해 축구팀을 공격했다고 주장하면서 직접 운영하는 데이터 유출 사이트에 글을 남겼다. 해당 글에서는 탈취한 데이터에 소속 선수와 경기장 정보 외에도 피해 축구팀을 지원하는 스폰서와 팬의 정보까지 포함된다고 언급했다. 조직은 피해 축구팀 관계자들이 유출된 데이터에 대해 신경 쓰지 않을 것이라 말했다고 밝히며, 200GB의 데이터 전체를 공개한 것으로 확인된다.