동향 리포트/월간 동향 리포트

2024년 01월 랜섬웨어 동향 보고서

TACHYON & ISARC 2024. 2. 8. 17:07

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 29곳의 정보를 취합한 결과이다.

20241(1 1 ~ 131)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 LockBit 랜섬웨어가 62건으로 가장 많은 데이터 유출이 있었고, 8Base 랜섬웨어와 Akira 랜섬웨어가 각각 28건과 26건의 유출 사례를 기록했다.

 

[그림 1] 2024년 1월 진단명별 데이터 유출 현황

 

20241(1 1 ~ 131)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 53%로 가장 높은 비중을 차지했고, 프랑스와 영국이 각 6%로 그 뒤를 따랐다.

 

[그림 2] 2024년 1월 국가별 데이터 유출 비율

 

20241(1 1 ~ 131)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 건설/부동산 분야가 그 뒤를 따랐다.

 

[그림 3] 2024년 1월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

2024 1(1 1 ~ 1 31) 한 달간 랜섬웨어 동향을 조사한 결과, 아일랜드의 산업 기계 제조 업체 Johnson Controls"DarkAngels" 랜섬웨어 공격을 받은 이후의 정황을 공개했다. 또한, 미국의 병원 Capital Health와 핀란드의 정보 통신 업체 Tietoevry가 각각 "LockBit" "Akira" 랜섬웨어 공격으로 운영이 중단된 정황이 알려졌다. 한편, 미국의 부동산 서비스 제공 업체 FNF와 영국의 수자원 관리 업체 Southern Water는 각각 "BlackCat" "BlackBasta" 랜섬웨어의 공격으로 데이터가 유출된 정황이 발견됐다.

 

[그림 4] 국내 / 외 랜섬웨어 피해 타임라인

 

미국 병원 Capital Health, LockBit 랜섬웨어 피해 사례

미국 뉴저지 전역의 Capital Health 병원과 진료소에서 운영 시스템이 중단된 정황을 밝혔다. 피해 병원은 환자 치료를 안전하게 제공하기 위해 수술 일정을 일부 변경했지만 응급 치료는 지속해서 제공 가능하다고 언급했다. 한편, "LockBit" 측은 자신들이 공격했다고 주장하며 운영하는 데이터 유출 사이트에 랜섬머니를 요구하는 게시글을 작성했다. 또한 환자의 치료를 방해하지 않기 위해 의도적으로 파일은 암호화하지 않고 7TB의 데이터를 탈취만 했다고 주장했다. 현재는 "LockBit"의 데이터 유출 사이트에 피해 병원의 데이터가 모두 공개됐다.

 

미국 부동산 서비스 제공 업체 FNF, BlackCat 랜섬웨어 피해 사례

미국의 부동산 서비스 제공 업체인 FNF(Fidelity National Financial)에서 사이버 공격을 받아 데이터가 유출됐다고 발표했다. 피해 업체는 공격자가 탈취한 자격 증명으로 네트워크를 공격해 시스템 연결이 끊어졌으며 이로 인해 서비스 제공이 중단됐다고 언급했다. 또한, 해당 공격으로 130만 명이 넘는 고객의 데이터가 유출됐으며 피해가 있는 개인에게 이를 통보하고 신원 도용 복원 서비스를 제공했다고 밝혔다. 한편, "BlackCat" 측은 자신들이 공격했다고 주장하며 데이터 유출 사이트에 피해 업체의 이름을 등록했다.

 

핀란드 정보 통신 업체 Tietoevry, Akira 랜섬웨어 피해 사례

1월 중순, 핀란드의 정보 통신 업체 Tietoevry에서 랜섬웨어 공격으로 운영이 중단되는 상황이 발생했다. 피해 업체는 스웨덴에 있는 데이터 센터 중 한 곳이 "Akira" 랜섬웨어의 공격을 받았다고 공지했다. 또한, 공격받은 시스템의 운영을 중단하는 과정에서 고객 서비스까지 피해가 발생했다고 전했다. 현재 피해 업체 측은 시스템 복구에 최대 몇 주의 시간이 걸릴 예정이라고 전한 이후로 복구 완료 소식은 없는 상황이다. 이에 대해 외신은 공격받은 데이터 센터에서 스웨덴에 있는 고객에게 클라우드 호스팅 서비스를 제공했다고 보도했다.

 

영국 수자원 관리 업체 Southern Water, BlackBasta 랜섬웨어 피해 사례

영국의 수자원 관리 업체 Southern Water가 사이버 공격으로 데이터가 유출된 정황이 발견됐다. "BlackBasta" 측은 자신들이 피해 업체를 공격해 750GB에 달하는 데이터를 탈취했다고 주장했다. 그 근거로 직접 운영하는 데이터 유출 사이트에 여권과 운전면허증 등의 신분증 스캔본을 샘플로 공개했다. 이에 대해 피해 업체 측은 시스템에서 의심스러운 활동을 감지해 조사 중이지만 고객 정보나 금융 시스템이 영향을 받은 증거는 없다고 밝혔다. 한편, "BlackBasta" 측의 데이터 유출 사이트에서 피해 업체 관련 게시글은 현재 내려간 것으로 확인된다.

 

아일랜드 산업 기계 제조 업체 Johnson Controls, DarkAngels 랜섬웨어 피해 사례

1월 말, 아일랜드의 산업 기계 제조 업체 Johnson Controls가 랜섬웨어 공격을 받은 이후의 정황을 공개했다. 피해 업체는 미국 증권거래위원회에 제출한 분기별 보고서에서 지난 9월에 발생한 랜섬웨어 사건을 언급했다. 사건 당시에 공격의 영향으로 운영을 중단한 시스템은 그 이후로도 3개월간 상태가 지속됐으며 현재는 복원했다고 전했다. 또한, 작년 말까지 피해 수습에 사용된 비용은 약 2,700만 달러이며 여전히 대응 중인 부분이 있어 더 증가할 것으로 예상한다고 밝혔다. 한편, 외신은 해당 사건의 배후자인 "DarkAngels"가 피해 업체에 데이터 삭제와 암호 해독기 제공을 빌미로 5,100만 달러를 요구했다고 보도했다.