동향 리포트/분기별 동향 리포트

2024년 2분기 랜섬웨어 동향 보고서

TACHYON & ISARC 2024. 7. 15. 11:12

 

1. 랜섬웨어 피해 사례

2024 2분기(4 1 ~ 6 30) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 블랙바스타(BlackBasta)와 블랙수트(BlackSuit) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 4월에는 영국의 법률 사무소 TRUE Solicitors LLP가 블랙바스타의 공격을 받았고, 5월과 6월에는 미국의 연료 유통 업체 Atlas Oil과 일본의 미디어 출판 업체 KADOKAWA가 각각 블랙바스타와 블랙수트 랜섬웨어 공격을 받아 피해가 발생했다.

 

[그림  1] 2024 년  2 분기 랜섬웨어 동향

 

  

블랙바스타(BlackBasta) 랜섬웨어 피해 사례

2024 2분기에는 블랙바스타 랜섬웨어 조직이 의료 분야를 공격하고 있다는 소식이 전해졌다. 외신은 최근에 해당 조직이 16개의 중요 인프라 부문 중 최소 12개 부문에서 데이터를 암호화했다고 언급했으며, 의료 및 공중 보건(HPH) 부문이 포함된다고 전했다.

 

[그림  2] 2024 년  2 분기 블랙바스타 랜섬웨어 피해 사례

 

미국 비영리 의료 기관 Ascension 피해

미국의 비영리 의료 기관 Ascension에서 랜섬웨어 공격으로 내부 시스템 운영이 중단된 정황이 발견됐다. 해당 공격으로 전자 건강 기록 시스템과 전화 및 약품 주문에 사용되는 시스템 등이 영향을 받았다고 전해졌다. 이로 인해 피해 기관 직원들은 환자 기록을 확인할 수 없는 상황이 발생해 의료 절차와 약품을 종이에 기록한 것으로 알려졌다. 외신은 이번 공격으로 개인의 건강 정보와 식별 정보를 포함한 개인정보가 유출됐을 수 있다고 보도했다. 또한, 최근 의료 분야를 공격하고 있는 블랙바스타가 이번 공격의 배후일 것이라고 언급했다.

 

영국 법률 사무소 TRUE Solicitors LLP 피해

블랙바스타 랜섬웨어 조직이 운영하는 데이터 유출 사이트에서 영국의 법률 사무소 TRUE Solicitors LLP의 글이 발견됐다. 해당 게시글에서는 사무소 내부 문서 외에도 고객 정보 등의 민감 정보 312GB를 탈취했다고 언급했으며 현재는 데이터 전체가 공개된 것으로 확인된다. 외신은 이번 공격이 피해 사무소 하나뿐만 아니라 고객과 파트너에게까지 광범위한 영향을 미칠 수 있다고 보도했다.

 

 

블랙수트(BlackSuit) 랜섬웨어 피해 사례

지난 2분기에 블랙수트의 공격으로 피해 업체에서 운영이 중단되는 등의 피해 사례가 발생했다. 블랙수트 랜섬웨어는 2023 5월부터 활동을 시작했으며, 로얄(Royal) 랜섬웨어의 리브랜딩으로 추정된다고 알려졌다.

 

[그림  3] 2024 년  2 분기 블랙수트 랜섬웨어 피해 사례

 

미국 자동차 판매 플랫폼 제공 업체 CDK Global 피해

미국의 자동차 판매 플랫폼 제공 업체 CDK Global에서 사이버 공격을 받아 시스템 운영이 중단된 정황을 알렸다. 사건 당시에 피해 업체는 공격의 영향으로 IT 시스템과 데이터 센터를 폐쇄한 소식이 전해졌다. 이후에 시스템을 복구하는 과정에서 2차 공격이 발생해 다시 한 번 모든 시스템을 종료한 것으로 알려졌다. 한편, 외신은 해당 공격의 배후로 블랙수트 조직을 언급하면서 피해 업체가 조직과 협상 중인 것으로 예상한다고 보도했다.

 

일본 미디어 출판 업체 KADOKAWA 피해

일본의 미디어 출판 업체 KADOKAWA에서 랜섬웨어 공격으로 서비스 운영이 중단된 사실을 밝혔다. 외신은 공격 당시에 본사와 자회사가 동일한 데이터 센터를 사용해 대부분의 서비스 운영에 영향을 미쳤다고 전했다. 또한, 시스템 복구를 진행하고 있으나 여전히 피해 업체의 자회사에서 운영하는 서비스는 중단된 상태라고 덧붙였다. 한편, 블랙수트 랜섬웨어 조직은 일부 샘플과 함께 자신들이 피해 업체를 공격했다고 주장하는 글을 게시했다. 해당 글에는 랜섬머니를 지불하지 않으면 7 1일에 데이터를 공개한다고 언급했으며, 현재 데이터 일부가 공개된 것으로 확인된다.

 

 

기타 랜섬웨어 피해 사례

2024 2분기에는 리시다(Rhysida)와 에베레스트(Everest) 등 다양한 램섬웨어의 피해 사례가 발생했다.

 

[그림  4] 2024 년  2 분기 기타 랜섬웨어 피해 사례

 

 

미국 요트 소매 업체 MarineMax 피해

4월 초, 미국의 요트 소매 업체 MarineMax에서 사이버 보안 사고가 발생한 사실이 전해졌다. 피해 업체는 지난 3월에 발생한 사고로 일부 사업이 중단됐으나 당시에 운영에는 큰 영향을 미치지 않는다고 언급했다. 이후에 진행된 조사에서는 사업 관련 정보 외에도 고객과 직원의 개인정보가 유출된 사실을 확인했다고 덧붙였다. 한편, 리시다 조직은 자신들이 피해 업체를 공격해 탈취한 데이터의 공개를 빌미로 랜섬머니를 요구한 것으로 알려졌다. 현재는 조직의 데이터 유출 사이트에 피해 업체 관련 게시글을 찾을 수 있으며 전체 225GB 70%가 공개된 것으로 확인된다.

 

캐나다 유리 및 알루미늄 제품 제조 업체 Les Miroirs St-Antoine 피해

에베레스트 조직에서 캐나다의 유리 및 알루미늄 제품 제조 업체 Les Miroirs St-Antoine를 공격했다고 주장했다. 사건 당시에 해당 조직은 피해 업체에서 탈취한 데이터의 공개를 빌미로 24시간 이내에 연락할 것을 요구한 것으로 알려졌다. 2개월이 지난 현재는 에베레스트 조직이 운영하는 데이터 유출 사이트에서 피해 업체의 데이터 전체가 공개된 것이 확인된다. 이에 대해 외신은 피해 업체의 홈페이지가 정상 운영 중이며, 눈에 띄는 피해 징후가 보이지 않는다고 전했다.

 

영국 경매 업체 Christie's 피해

영국의 경매 업체 Christie's에서 랜섬웨어 공격의 영향으로 데이터가 유출된 정황이 발견됐다. 피해 업체에서는 공격을 확인한 즉시 서비스 운영을 중단하고 피해가 확산되지 않도록 대처한 것으로 알려졌다. 또한, 이후에 진행된 조사에서 공격자가 일부 고객의 개인정보에 접근한 사실이 전해졌다. 한편, 랜섬허브(RansomHub) 조직은 자신들이 피해 업체를 공격해 최소 50만 명의 데이터를 탈취했다는 글을 데이터 유출 사이트에 게시했다. 현재는 피해 업체가 협상 도중 연락이 끊겨 데이터를 경매로 등록했으며 판매가 완료된 것으로 확인된다.

 

미국 목공 업체 Western Dovetail 피해

5월 말, 아키라(Akira) 조직의 데이터 유출 사이트에서 미국의 목공 업체 Western Dovetail의 글이 발견됐다. 조직은 피해 업체를 공격해 직원의 개인정보와 의료 정보 등을 탈취했다고 언급했다. 이에 대해 외신에서는 게시글은 발견됐지만 피해 업체를 공격한 동기는 알려지지 않는다고 전했다. 또한, 피해 업체의 홈페이지는 정상적으로 운영 중이며 어떠한 범죄의 징후도 발견되지 않았다고 덧붙였다.

 

미국 건설 업체 GEMCO Constructors 피해

미국의 건설 업체 GEMCO Constructors를 공격했다고 주장하는 랜섬웨어 조직이 등장했다. 해당 조직은 메두사(Medusa)로 밝혀졌으며, 피해 업체에서 총 1TB에 달하는 데이터를 탈취했다는 글을 게시한 것으로 알려졌다. 또한, 6~7일 내로 탈취한 데이터를 공개하겠다는 빌미로 피해 업체에 90만 달러를 요구한 소식이 전해졌다. 해당 게시글에서는 내부 문서와 도면 등의 샘플 파일이 확인되며 현재 전체 데이터가 공개된 것으로 보인다.

 

 

2. 랜섬웨어 통계

2024 2분기(4 1 ~ 6 30)에 활동이 많았던 랜섬웨어의 구글 트렌드 검색어 조사 결과 헌터스 인터내셔널(Hunters International) 랜섬웨어가 가장 많이 검색됐다. 특히 헌터스 인터내셔널 랜섬웨어의 검색량이 최고치를 달성한 4 1주차에는 일본 광학 기기 제조 업체 Hoya 피해 사례가 있었다. 메두사(Medusa) 랜섬웨어가 가장 많은 검색량을 보여준 5 4주차에는 캐나다 통신 업체 Comwave Networks 피해 사례가 있었다. 마지막으로 아키라(Akira) 랜섬웨어의 검색량이 가장 많은 6 1주차에는 오스트레일리아의 전자 기기 제조 업체 Panasonic Australia 피해 사례가 있었다.

              

[그림  5]  구글 트렌드  -  분기별 랜섬웨어 관심도 비교

   

다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 38곳의 정보를 취합한 결과이다. 20242분기(4 1~ 630)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 5월에 데이터 유출이 가장 많이 발생했다.

 

[그림  6] 2024 년  2 분기 월별 데이터 유출 현황

 

20242분기(4 1 ~ 630)에 발생한 데이터 유출 건을 국가별로 비교했을 때 미국이 50%로 가장 높은 비중을 차지했고, 영국이 6%, 캐나다가 5%로 그 뒤를 따랐다.

 

[그림  7] 2024 년  2 분기 국가별 데이터 유출 비율

 

20242분기(4 1 ~ 630)에 발생한 데이터 유출 건을 산업별로 비교했을 때 제조/공급 분야가 가장 많은 공격을 받았고, 건설/부동산 분야가 그 다음으로 많은 공격을 받았다. 또한, 의료/제약 분야가 그 뒤를 따랐다.

 

[그림 8] 2024년 2분기 산업별 데이터 유출 현황