2024년 02월 랜섬웨어 동향 보고서
1. 랜섬웨어 통계
랜섬웨어 데이터 유출 통계
랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 28곳의 정보를 취합한 결과이다.
2024년 2월(2월 1일 ~ 2월 29일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “Play” 랜섬웨어가 24건으로 가장 많은 데이터 유출이 있었고, “BianLian” 랜섬웨어와 “8Base” 랜섬웨어가 22건의 유출 사례를 기록했다.
2024년 2월(2월 1일 ~ 2월 29일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 55%로 가장 높은 비중을 차지했고, 영국이 7%로 그 뒤를 따랐다.
2024년 2월(2월 1일 ~ 2월 29일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 건설/부동산 분야와 교육 서비스 분야가 그 뒤를 따랐다.
2. 랜섬웨어 동향
국내/외 랜섬웨어 피해 사례
2024년 2월(2월 1일 ~ 2월 29일) 한 달간 랜섬웨어 동향을 조사한 결과, 루마니아 전역의 병원 다수가 "BackMyData" 랜섬웨어 공격으로 운영에 영향을 미쳤다. 또한, 미국 조지아주 폴턴 카운티의 행정 기관과 미국의 금융 업체 LoanDepot에서 발생한 사이버 보안 사고에 각각 "LockBit"과 "BlackCat" 랜섬웨어가 배후자라고 주장하며 나섰다. 한편, 독일의 캐비닛 제조 업체 Asecos GmbH와 미국의 게임 개발 업체 Insomniac Games가 각각 "BlackBasta"와 "Rhysida" 랜섬웨어의 공격으로 데이터가 유출된 정황이 발견됐다.
독일 캐비닛 제조 업체 Asecos GmbH, BlackBasta 랜섬웨어 피해 사례
2월 초, 독일의 캐비닛 제조 업체 Asecos GmbH가 사이버 공격을 받아 데이터가 유출됐다. 피해 업체는 공격자가 내부 시스템에 접근했을 때 즉각 대응해 추가 공격은 막았으나 유출된 데이터가 있다고 공지했다. 이에 대해 "BlackBasta" 측은 자신들의 소행이라고 주장하며 데이터 유출 사이트에 탈취한 데이터를 공개했다. 공개된 데이터는 직원과 업체 내부 정보를 포함해 총 810GB에 달하며 샘플 사진과 함께 게시된 것으로 확인된다.
루마니아 전역의 병원, BackMyData 랜섬웨어 피해 사례
2월 중순, 루마니아 전역의 병원 다수가 사이버 공격을 받아 의료 관리 시스템의 운영이 중단됐다. 공격자는 의료 활동과 환자 정보를 관리하는 HIS 시스템을 공격했으며 데이터베이스를 암호화한 것으로 알려졌다. 외신은 해당 공격으로 약 400대의 컴퓨터와 서버가 종료돼 의료진은 입원 기록과 처방전 등을 종이에 기록했다고 전했다. 한편, 국가 사이버 보안국(DNSC)에서 사건을 조사하면서 "Phobos" 계열로 알려진 "BackMyData" 랜섬웨어가 사용된 것을 발견했다. 또한, 피해 병원에 공격자의 랜섬머니 요구에 응하지 않을 것을 당부하며 모든 의료 기관의 시스템을 검사할 것을 권고했다.
미국 조지아주 풀턴 카운티 행정 기관, LockBit 랜섬웨어 피해 사례
미국 조지아주에 위치한 풀턴 카운티의 행정 기관을 공격했다고 주장하는 조직이 등장했다. "LockBit" 측은 피해 기관에서 탈취한 데이터의 공개를 빌미로 랜섬머니를 요구하고 있는 것으로 알려졌다. 사건 당시에 피해 기관은 공격의 영향으로 전화, 사법 및 세금 시스템 등 광범위한 시스템 중단이 발생해 운영에 영향을 미쳤다. 이후 현재까지도 시스템 복원을 진행하고 있으며 그 과정을 홈페이지에 공개하고 있다.
미국 금융 업체 LoanDepot, BlackCat 랜섬웨어 피해 사례
미국의 금융 업체 LoanDepot에서 발생한 사이버 보안 사고의 배후자라고 주장하는 조직이 나타났다. "BlackCat" 측은 자신들이 운영하는 데이터 유출 사이트에 피해 업체의 데이터를 판매하는 글을 게시했다. 피해 업체 측은 해당 사고로 약 1,660만 명의 개인정보가 공격자에게 노출된 정황을 발견했다고 공지했다. 또한, 영향을 받은 개인에게 무료 신용 모니터링 및 신원 보호 서비스를 제공한다고 언급했다. 한편, 이번 사고에 관한 피해 업체의 공지는 1월 말 이후로 추가된 내용이 없는 것으로 확인된다.
미국 게임 개발 업체 Insomniac Games, Rhysida 랜섬웨어 피해 사례
2월 말, 미국의 게임 개발 업체 Insomniac Games에서 사이버 공격으로 유출된 데이터가 발견됐다. "Rhysida" 측은 자신들이 운영하는 데이터 유출 사이트에 직원 신분증과 내부 서류 등을 포함한 피해 업체의 데이터를 공개했다. 외신은 지난 11월에 발생한 공격에서 피해 업체가 랜섬머니를 지불하지 않아 뒤늦게 데이터가 공개됐다고 전했다. 피해 업체 측은 유출된 데이터에서 영향을 받은 개인을 확인해 피해 보상 서비스를 제공하는 등 대응하고 있는 것으로 전해진다.