2024년 04월 랜섬웨어 동향 보고서
1. 랜섬웨어 통계
랜섬웨어 데이터 유출 통계
랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다.
2024년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 “Hunters International” 랜섬웨어가 30건으로 가장 많은 데이터 유출이 있었고, “Play” 랜섬웨어와 “8Base” 랜섬웨어가 각각 25건과 24건의 유출 사례를 기록했다.
2024년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 58%로 가장 높은 비중을 차지했고, 캐나다와 영국이 각 6%와 4%로 그 뒤를 따랐다.
2024년 4월(4월 1일 ~ 4월 30일)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 건설/부동산 분야와 의료/제약 분야가 그 뒤를 따랐다.
2. 랜섬웨어 동향
국내/외 랜섬웨어 피해 사례
2024년 4월(4월 1일 ~ 4월 30일) 한 달간 랜섬웨어 동향을 조사한 결과, 이탈리아의 의료 연구소 Synlab Italia에서 랜섬웨어 형태의 공격을 받은 소식을 공개했다. 또한, 미국의 의료 비영리 단체 GHC-SCW와 정보 통신 업체 UNDP에서 각각 "BlackSuit"와 "8Base" 랜섬웨어의 공격을 받은 정황이 발견됐다. 한편, 일본의 광학 기기 제조 업체 Hoya와 네덜란드의 반도체 제조 업체 Nexperia는 각각 "Hunters International"과 "Dunghill Leak" 랜섬웨어의 공격을 받은 정황이 알려졌다.
일본 광학 기기 제조 업체 Hoya, Hunters International 랜섬웨어 피해 사례
4월 초, 일본의 광학 기기 제조 업체 Hoya에서 사이버 보안 사고로 시스템 운영이 중단된 정황을 공지했다. 피해 업체는 해외 지사 중 한 곳에서 시스템 장애가 발생했다고 언급했다. 이후, 시스템 복원 완료 소식과 함께 일부 파일이 유출된 정황을 홈페이지로 전했다. 이에 대해 "Hunters International" 랜섬웨어 조직에서 피해 업체를 공격해 2TB에 달하는 데이터를 탈취했다는 소식이 전해졌다. 또한, 외신은 랜섬웨어 조직이 탈취한 데이터의 공개를 빌미로 천만 달러를 요구했다고 보도했다.
미국 의료 비영리 단체 GHC-SCW, BlackSuit 랜섬웨어 피해 사례
미국의 의료 비영리 단체 GHC-SCW(Group Health Cooperative of South Central Wisconsin)에서 랜섬웨어 공격으로 데이터가 유출된 정황이 발견됐다. 피해 단체는 지난 1월에 내부 시스템에서 무단 접속 이력을 발견해 조사를 진행했다고 언급했다. 이 과정에서 이름과 전화번호 등이 포함된 개인정보가 복사된 징후를 발견해 영향을 받은 개인에게 통지했다고 전했다. 한편, "BlackSuit" 측은 해당 공격이 자신들의 소행이라고 주장하며 데이터 유출 사이트에 글을 게시했다. 해당 게시글에서는 피해 단체에서 언급한 개인정보 외에도 내부 문서와 데이터베이스 등의 유출된 데이터 목록이 확인된다.
네덜란드 반도체 제조 업체 Nexperia, Dunghill Leak 랜섬웨어 피해 사례
"Dunghill Leak" 랜섬웨어 조직이 네덜란드의 반도체 제조 업체 Nexperia를 공격한 정황이 발견됐다. 해당 조직은 직접 운영하는 데이터 유출 사이트에 피해 업체의 글을 게시하면서 공격 사실을 주장했다. 또한, 개인정보와 내부 민감 정보를 포함해 1TB에 달하는 데이터를 탈취했다고 언급했다. 이에 대한 근거로 조직은 여권 사진과 기술 문서 등의 샘플 파일을 공개해 현재까지도 확인할 수 있다. 한편, 피해 업체는 승인되지 않은 제3자가 내부 서버에 접근한 사실을 확인해 조사하고 있다고 공지했다.
미국 정보 통신 업체 UNDP, 8Base 랜섬웨어 피해 사례
미국 정보 통신 업체 UNDP(United Nations Development Programme)에서 덴마크의 코펜하겐시에 있는 시스템이 사이버 공격을 받은 정황을 공지했다. UNDP 측은 3월 말에 발생한 공격으로 개인정보와 내부 자료가 유출됐다고 언급했다. 이에 영향을 받은 개인에게 연락해 유출된 정보가 오용되지 않도록 조치하고 있음을 전했다. 해당 공격이 자신들의 소행이라고 주장한 "8Base" 측은 데이터 유출 사이트에 글을 게시했다. 현재까지도 해당 게시글에는 개인정보뿐만 아니라 회계 문서와 영수증 등의 탈취한 데이터 목록이 확인된다.
이탈리아 의료 연구소 Synlab Italia, 랜섬웨어 피해 사례
이탈리아의 의료 연구소 Synlab Italia에서 랜섬웨어 형태의 공격이 발생한 소식을 공지했다. 피해 연구소는 공격의 영향으로 모든 실험실의 분석과 시료 수집 서비스를 중단한다고 전했다. 또한, 이번 사건을 조사하고 있으며 개인정보가 유출됐을 가능성이 있다고 언급했다. 공격 발생 이후, 피해 연구소는 홈페이지에 일부 서비스가 복구된 소식을 추가로 알렸다.