동향 리포트/월간 동향 리포트

2024년 07월 랜섬웨어 동향 보고서

TACHYON & ISARC 2024. 8. 6. 15:12

1. 랜섬웨어 통계

랜섬웨어 데이터 유출 통계

랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된, 데이터 유출 사이트 37곳의 정보를 취합한 결과이다.

20247(7 1 ~ 731)에 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교하였을 때 RansomHub 랜섬웨어가 47건으로 가장 많은 데이터 유출이 있었고, Akira 랜섬웨어가 29건의 유출 사례를 기록했다.

 

[그림 1] 2024년 7월 진단명별 데이터 유출 현황

 

20247(7 1 ~ 731)에 발생한 데이터 유출 건을 국가별로 비교하였을 때 미국이 53%로 가장 높은 비중을 차지했고, 캐나다가 7%로 그 뒤를 따랐다.

 

[그림 2] 2024년 7월 국가별 데이터 유출 비율

 

20247(7 1 ~ 731)에 발생한 데이터 유출 건을 산업별로 비교하였을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야와 의료/제약 분야가 그 뒤를 따랐다.

 

[그림 3] 2024년 7월 산업별 데이터 유출 현황

 

2. 랜섬웨어 동향

국내/외 랜섬웨어 피해 사례

20247(7 1 ~ 731) 한 달간 랜섬웨어 동향을 조사한 결과, "Monti" 랜섬웨어가 미국의 정형외과 센터 Excelsior Orthopaedics를 공격한 정황이 발견됐다. 또한, 미국의 금융 업체 Evolve Bank & Trust와 무선 중계 연맹 ARRL에서 지난 5월에 각각 "LockBit" "Embargo" 랜섬웨어의 공격을 받은 정황이 알려졌다. 한편, 일본의 미디어 출판 업체 KADOKAWA와 미국의 약국 체인점 Rite Aid는 각각 7월에 "BlackSuit" "RansomHub" 랜섬웨어의 공격을 받은 정황이 전해졌다.

 

[그림 4] 국내 / 외 랜섬웨어 피해 타임라인

 

미국 금융 업체 Evolve Bank & Trust, LockBit 랜섬웨어 피해

7월 초, 미국의 금융 업체 Evolve Bank & Trust에서 시스템 운영이 중단된 원인을 랜섬웨어 공격이라고 공지했다. 피해 업체는 지난 5월 말에 발생한 시스템 오류를 하드웨어 문제로 생각했으나, 최근 "LockBit" 조직의 공격이라는 사실을 확인했다고 전했다. 사건 당시 직원의 실수로 악성 링크에 접속하면서 공격을 받게 된 것으로 추정되며, 그 결과 고객의 정보가 유출됐다고 언급했다. 또한, 피해 업체는 조직의 랜섬머니 요구를 거부해 데이터가 유출됐으나, "LockBit" 측이 연방준비은행의 이름으로 데이터를 잘못 공개했다고 덧붙였다. 현재는 "LockBit" 조직의 데이터 유출 사이트에서 피해 업체의 이름으로 작성된 글과 데이터를 확인할 수 있다.

 

일본 미디어 출판 업체 KADOKAWA, BlackSuit 랜섬웨어 피해

일본의 미디어 출판 업체 KADOKAWA에서 랜섬웨어 공격으로 개인정보가 유출된 정황을 공지했다. 피해 업체는 지난 6월에 랜섬웨어 공격이 발생하면서 일부 서버에 접근할 수 없는 문제가 발생했다고 전했다. 또한, 출판 서비스 외에도 같은 데이터센터 내의 다른 서비스까지 영향을 받아 시스템 간의 통신을 차단하고 웹 서비스 제공을 중단한다고 알렸다. 이후, 사건 당시에 탈취해 공개한 데이터에 업체 내부 정보가 포함됐으며, 외부 관계자에게도 영향을 미칠 가능성이 높다고 추가로 안내했다. 해당 사건에 대해 "BlackSuit" 측은 자신들의 소행이라고 주장하며 1.5TB에 달하는 데이터를 탈취했다는 글을 게시해 현재까지도 확인할 수 있다.

 

미국 정형외과 센터 Excelsior Orthopaedics, Monti 랜섬웨어 피해 사례

미국의 정형외과 센터 Excelsior Orthopaedics "Monti" 랜섬웨어 조직의 공격을 받은 정황이 발견됐다. 조직은 피해 의료 센터를 공격해 데이터를 탈취했다고 주장하면서 7 16일에 공개할 예정이라는 글을 게시했다. 이후, 기한이 지나 조직의 데이터 유출 사이트에서 300GB가 넘는 전체 데이터가 공개된 글이 확인됐다. 한편, 공격 당시 외신은 피해 의료 센터 측의 홈페이지에 접속되지 않는다고 보도했으나 현재는 정상 운영 중인 것으로 확인된다.

 

미국 무선 중계 연맹 ARRL, Embargo 랜섬웨어 피해 사례

7월 중순, 미국의 무선 중계 연맹 ARRL에서 사이버 공격을 받아 개인정보가 유출된 소식을 알렸다. 피해 연맹은 5월에 발생한 보안 사고로 시스템 운영을 중단하고 외부 인력을 고용해 조사한 것으로 전했다. 이후, 직원 150명의 이름과 주소 및 사회보장번호를 포함한 개인정보가 유출된 사실을 확인했다고 덧붙였다. 해당 공격에 대해 외신은 "Embargo" 랜섬웨어 조직의 소행으로 추정하고 있으나, 피해 연맹에서는 공격의 배후를 언급하지 않았다. 현재 "Embargo" 측에서 운영하는 데이터 유출 사이트에는 피해 연맹의 글이 확인되지 않는다.

 

미국 약국 체인점 Rite Aid, RansomHub 랜섬웨어 피해 사례

미국의 약국 체인점 Rite Aid에서 랜섬웨어 공격으로 데이터가 유출된 정황이 발견됐다. 피해 체인점에서 1개월 전에 발생한 공격으로 약 4,500만 명의 개인정보가 포함된 데이터가 유출된 것으로 알려졌다. 한편, "RansomHub" 측은 직접 운영하는 데이터 유출 사이트에 피해 체인점을 공격했다고 주장하는 글을 게시했다. 이후 조직은 협상이 합의와 가까워졌지만, 갑자기 피해 체인점에서 연락을 중단했다고 언급하면서 10GB가 넘는 데이터를 공개한 것으로 확인된다.