2022년 3분기 랜섬웨어 동향 보고서
1. 랜섬웨어 피해 사례
2022년 3분기(7월 1일 ~ 9월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 “락빗(LockBit)”, “라그나락커(RagnarLocker)” 및 “하이브(Hive)” 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 7월에는 미국 유통 업체 Gensco가 “라그나락커(RagnarLocker)” 랜섬웨어 공격을 받았고, 8월과 9월에는 미국 보안 업체 Entrust와 프랑스 의류 업체 Damart가 각각 “락빗(LockBit)”과 “하이브(Hive)” 랜섬웨어 공격을 받아 피해가 발생했다.
락빗(LockBit) 랜섬웨어 피해 사례
락빗(LockBit) 랜섬웨어가 3분기에서도 꾸준한 활동량을 보이고 있다. 지난 9월, 해당 랜섬웨어 조직의 구성원으로 추정되는 개발자에 의해 빌더가 유출됐으며, 이러한 이유로 인해 국내외 보안 전문가는 락빗 랜섬웨어가 더욱 빠르게 유포될 것임을 경고했다. 또한, 해당 랜섬웨어 조직은 파일 암호화와 데이터를 유출하는 것 외에 DDoS 공격을 추가할 것이라고 밝혔지만, 아직까지 해당 공격이 발견되지는 않았다.
이탈리아 금융 업체 Gesis Srl 피해
지난 7월 말, 락빗 랜섬웨어의 데이터 유출 사이트에 게시됐던 이탈리아 국세청 ADE(Agenzia delle Entrate) 관련 데이터가 이탈리아 금융 업체 Gesis Srl의 데이터로 밝혀졌다. 국세청 관리 업체 Sogei 등 관련 기관의 분석에 따르면, 유출된 데이터는 이탈리아의 회계 업체 Gesis Srl과 관련된 데이터이며, 국세청을 대상으로 하는 사이버 공격 및 데이터 유출의 정황은 발견되지 않았다고 알려졌다. Gesis Srl 측은 공식 발표를 통해 피해 사실을 인정했고, 사건 조사를 위해 관련 수사기관에 협조하고 있다고 언급했다. 또한, 피해 업체는 해당 사고가 당사의 서비스 운영에는 영향을 미치지 않았다고 알렸다.
프랑스 병원 CHSF(Center Hospitalier Sud Francilien) 피해
지난 8월 말, 프랑스의 병원 CHSF(Center Hospitalier Sud Francilien)가 사이버 공격을 받아 운영에 영향을 미쳤다. 피해 업체는 이번 사건으로 인해 의료 영상 시스템 및 입원 관련 정보 시스템의 접속에 문제가 발생했다고 밝혔다. 또한, 해당 시스템과 관련된 환자들은 다른 의료 시설로 이동했으며, 그 외 환자들에 대한 조치는 완료됐다고 언급했다. 현재, 락빗 측은 직접 운영하는 데이터 유출 사이트에 피해 업체의 데이터를 게시하며 이번 공격을 자신들의 소행이라고 주장했다.
영국 호텔 서비스 업체 IHG(InterContinental Hotels Group PLC) 피해
지난 9월 초, 영국의 호텔 서비스 업체 IHG(InterContinental Hotels Group PLC)가 사이버 공격을 받아 일부 서비스가 중단됐다. 이 공격으로 인해 피해 업체는 호텔 예약 채널 및 회사 시스템 일부가 중단됐다고 밝혔다. 피해 업체는 호텔 예약 등의 서비스가 정상 운영되고 있다고 언급했지만, 외신은 당시 피해 업체의 앱에서는 로그인이 불가능해 서비스를 이용할 수 없는 상태라고 알렸다. 현재, 락빗 측은 자신들이 피해 업체를 공격했다고 주장하며 탈취한 데이터를 직접 운영하는 데이터 유출 사이트에 게시했다.
라그나락커(RagnarLocker) 랜섬웨어 피해 사례
라그나락커(RagnarLocker) 랜섬웨어는 현재까지 제조, 공급, 및 금융 업체 등 52개 이상의 미국 사회 기반 시설을 침해한 것으로 알려졌다. 라그나락커를 사용하는 공격자는 윈도우 시스템에 원격으로 연결하기 위해 사용되는 RDP(Remote Desktop Protocol) 서비스를 악용해 공격 대상 시스템에 침투한다. 이후 원격 관리 소프트웨어를 종료하고 VirtualBox 가상 머신을 활용해 암호화 동작을 진행하는 등 탐지 회피를 위한 동작들을 수행한다. 또한, 이중 갈취 공격을 위해 중요 데이터를 탈취한 후 암호화 공격을 수행하고, 데이터 유출을 빌미로 랜섬머니를 요구한다.
미국 유통 업체 Gensco 피해
지난 7월 경, 미국의 공조장치 유통 업체 Gensco가 사이버 공격을 받은 정황이 발견됐다. 외신은 라그나락커 측이 운영하는 데이터 유출 사이트에 게시된 피해 업체의 정보를 확인했다고 알렸다. 해당 정보에 대해 직접 확인한 결과, 유출 데이터에는 직원들의 금융 정보와 사회 보장 번호 및 여권 번호 등의 민감 정보가 포함되어 있었다. 하지만, 피해 업체는 아직까지 유출 데이터에 대한 대응 및 공식 입장을 발표하지 않고 있다.
그리스 천연가스 공급 업체 DESFA 피해
지난 8월, 그리스의 천연가스 공급 업체 DESFA가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 피해 업체는 공식 발표를 통해 이번 사고가 가스 공급에 영향을 미치지 않으며 정상적으로 가스를 공급하고 있다고 밝혔다. 또한, 내부 시스템에 대한 공격 발견 이후, 데이터 보호를 위해 다수의 온라인 서비스를 비활성화했다고 알렸다. 라그나락커 측은 피해 업체의 데이터를 직접 운영하는 데이터 유출 사이트에 게시하며 피해 업체를 공격했다고 주장했다.
포르투갈 항공 운송 업체 TAP Air Portugal 피해
지난 8월 말, 포르투갈의 항공 운송 업체 TAP Air Portugal이 사이버 공격을 받아 운영에 영향을 미쳤다. 이번 공격으로 인해 피해 업체의 웹 사이트와 앱 사용이 중단됐고, 고객들은 피해 업체에서 제공하는 예약 등의 기능을 로그인 없이 사용해야 했다. 피해 업체는 트위터를 통해 피해 사실을 알리며 정보가 유출된 정황은 없다고 언급했다. 현재 라그나락커 측은 자신들이 피해 업체를 공격했다고 주장하며 데이터 유출 사이트에 관련 정보를 게시했다.
하이브(Hive) 랜섬웨어 피해 사례
작년 6월부터 기업들을 대상으로 활동한 하이브(Hive) 랜섬웨어의 변종이 발견됐다. 3분기에 발견된 하이브 랜섬웨어 버전 5는 기존 Go 언어에서 Rust 언어로 변경해 제작됐다. 또한 올해 6월, 한국인터넷진흥원에서 하이브 랜섬웨어 버전 1부터 4까지 복구 가능한 통합 복구 도구를 배포한 데 이어, 7월에는 3분기에 발견된 변종 랜섬웨어에 대한 복구 도구도 공개됐다.
프랑스 의류 업체 Damart 피해
지난 9월 초, 프랑스의 의류 업체 Damart가 사이버 공격을 받아 운영에 차질을 빚었다. 피해 업체는 공격자가 액티브 디렉터리에 접근해 일부 시스템을 암호화했다고 밝혔다. 또한, 공격에 대한 조치 방안으로 고객에게 제공되는 일부 서비스를 일시적으로 제한했으며, 해당 조치로 인해 서비스 운영에 문제가 발생했다고 알렸다. 하이브 측은 탈취한 데이터의 유출을 빌미로 피해 업체에게 200만 달러 상당의 비트코인을 요구했고, 현재 데이터 유출 사이트에는 피해 업체의 데이터가 공개되지 않았다.
캐나다 통신 업체 BTS(Bell Technical Solutions) 피해
지난 9월 중순, 캐나다의 통신 업체 BTS(Bell Technical Solutions)가 랜섬웨어 공격을 받아 데이터가 유출된 정황이 발견됐다. 피해 업체는 공식 발표를 통해 공격자가 일부 고객의 주소 및 전화번호가 포함된 데이터에 접근한 사실을 확인했으며 해당 고객에게 통지할 것임을 언급했다. 또한, 공격자가 고객들의 신용카드, 은행 정보와 같은 금융 정보에는 접근하지 않았다고 알렸다. 하이브 측은 직접 운영하는 데이터 유출 사이트에 탈취한 데이터를 공개하며 자신들이 피해 업체를 공격했다고 주장했다.
미국 응급 차량 서비스 제공 업체 Empress EMS 피해
미국의 의료 서비스 제공 업체 Empress EMS가 사이버 공격을 받아 데이터가 탈취된 정황이 발견됐다. 피해 업체는 공격 사실을 알리며, 공격자가 피해 업체의 시스템에 접근해 환자 이름, 보험 정보 및 사회 보장 번호 등의 데이터를 탈취했고 이후 일부 시스템의 파일들을 암호화했다고 발표했다. 외신은 공격자가 피해 업체에게 이메일을 전송해 데이터 공개를 빌미로 랜섬머니를 요구했다고 알렸다. 또한, 하이브 측은 직접 운영하는 데이터 유출 사이트에 관련 정보를 게시하며 자신들이 이번 사건의 배후에 있다고 주장했으나, 현재는 해당 게시물을 확인할 수 없다.
2. 랜섬웨어 통계
2022년 3분기(7월 1일 ~ 9월 30일)에 활동이 많았던 랜섬웨어 TOP3의 구글 트렌드 검색어 조사 결과 락빗(LockBit) 랜섬웨어가 가장 많이 검색됐다. 특히 락빗 랜섬웨어의 검색량이 높은 시기 중 7월 4주 차에는 이탈리아의 금융 업체 Gesis Srl 피해사례가 있었다. 하이브(Hive) 랜섬웨어의 검색량이 가장 높은 시기인 7월 1주차에는 Rust 언어로 작성된 하이브 랜섬웨어의 새로운 변종이 발견됐고, 두 번째로 높은 시기인 8월 2주차에는 해외 자동차 공급 업체가 락빗, 하이브 및 블랙캣(BlackCat) 랜섬웨어에 의해 삼중으로 공격 받은 사례가 있었다. 마지막으로 라그나락커(RagnarLocker) 랜섬웨어는 8월 3주차에 검색량이 일부 증가했는데 이 시기에는 그리스 천연가스 공급 업체 DESFA 피해사례가 있었다.
다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 41곳의 정보를 취합한 결과이다.
2022년 3분기(7월 1일 ~ 9월 30일)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 9월에 데이터 유출이 가장 많이 발생했다.
2022년 3분기(7월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 국가별로 비교했을 때 미국이 34%로 가장 높은 비중을 차지했고, 프랑스가 7%, 영국이 5%로 그 뒤를 따랐다.
2022년 3분기(7월 1일 ~ 9월 30일)에 발생한 데이터 유출 건을 산업별로 비교했을 때 제조/공급 분야가 가장 많은 공격을 받았고, 건설/부동산 분야가 그 다음으로 많은 공격을 받았다. 또한, 의료/제약, 정부/공공기관 및 기술/통신 분야가 그 뒤를 따랐다.