2023년 2분기 랜섬웨어 동향 보고서

1. 랜섬웨어 피해 사례

2023년 2분기(4월 1일 ~ 6월 30일) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 블랙바스타(BlackBasta)와 블랙캣(BlackCat) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 4월에는 캐나다 출판 업체가 블랙바스타 랜섬웨어 공격을 받았고, 5월과 6월에는 국내 식품 대기업과 스위스 정보통신 업체가 각각 블랙캣과 플레이(Paly) 랜섬웨어 공격을 받아 피해가 발생했다.

 

[그림  1] 2023 년  2분기 랜섬웨어 동향

 

블랙바스타(BlackBasta) 랜섬웨어 피해 사례

2022년 초에 처음 등장한 블랙바스타(BlackBasta) 랜섬웨어는 2분기에 활발한 공격을 보이며 많은 피해 사례를 기록했다. 블랙바스타 측의 주요 공격 국가는 미국, 일본 및 캐나다 등이며 초기 접근 단계에서 "Qakbot" 악성코드를 사용하는 특징을 보인다. 이후, 랜섬웨어를 실행하면 "instruction_read_me.txt"란 이름의 랜섬노트를 생성하고, 파일명에 ".[랜덤 9자리 문자열]"을 추가한다. 또한, 이중 갈취(double extortion) 전술을 사용해 중요 데이터를 탈취한 후 파일을 암호화하고, 데이터 유출을 빌미로 피해 업체에 랜섬머니를 요구한다.

 

[그림  2] 2023 년  2분기 블랙바스타 랜섬웨어 피해 사례

 

영국 아웃소싱 업체 Capita 피해

영국의 아웃소싱 업체 Capita가 사이버 보안 사고 현황과 조치 방안을 공개했다. 피해 업체는 사건 당시 고객들에게 제공하던 서비스가 중단됐고 내부 정보가 유출된 정황은 없었다고 알렸다. 하지만 지난 4월에 조사 결과를 공개하며 전체 시스템의 약 4%가 영향을 받아 고객 등의 정보가 유출됐을 수 있다고 언급했다. 또한, 3월 22일경 내부 시스템에서 승인되지 않은 제삼자의 무단 접근 이력을 확인했다고 발표했다. 현재, Capita 측은 영향을 받은 클라이언트 서비스의 복구를 대부분 완료했으며, 데이터 유출 사실을 공지하는 등의 조치를 진행 중이다. 블랙바스타 측은 자신들의 데이터 유출 사이트에 피해 업체를 공격했다고 주장하며 탈취한 데이터를 게시했다.

 

캐나다 출판 업체 Yellow Pages 피해

지난 4월 말, 캐나다의 출판 업체 Yellow Pages가 사이버 공격을 받아 데이터가 유출된 정황이 공개됐다. 외신은 지난 공격으로 공격자가 피해 업체의 서버에서 개인정보와 판매 및 구매 관련 계약 문서 등을 탈취했다고 알렸다. 또한, 일부 중단됐던 서비스의 복구를 완료했으며 고객에게 데이터 유출 사실을 통지했다고 전했다. 블랙바스타 측은 직접 운영하는 데이터 유출 사이트에 피해 업체에서 탈취한 데이터를 게시하며 자신들의 소행이라고 주장하고 있다.

 

스위스 자동화 설비 제조 업체 ABB 피해

지난 5월 말, 스위스의 자동화 설비 제조 업체 ABB가 사이버 공격을 받아 데이터가 유출된 정황을 공개했다. 사건 당시 외신은 피해 업체의 내부 시스템이 공격받아 수백 대의 장치가 영향을 받았고 공장 운영에 문제가 발생했다고 알렸다. 이후 사고 조사 정보를 공개하며 내부 시스템에 승인되지 않은 제삼자가 접근해 랜섬웨어를 배포하고 데이터를 탈취했다고 언급했다. 또한, 이번 사고로 개인정보에 영향을 받은 특정 고객과 공급 업체에 데이터 유출 사실을 통지했으며 영향을 최소화하는 데 주력하고 있다고 말했다. 현재, 피해 업체의 주요 서비스와 공장은 정상적으로 운영 중이며 사고 조사 초기 단계여서 공격자의 세부 정보는 공개되지 않았다.

 

 

블랙캣(BlackCat) 랜섬웨어 피해 사례

2023년 4월 미국 연방 수사국(FBI)이 블랙캣 측의 공격으로 약 60곳 이상의 업체가 피해를 보았다고 발표하며 주의를 권고했다. 지난 5월 말에는 탐지를 회피하기 위해 악의적으로 서명한 윈도우 커널 드라이버를 사용한 정황도 발견됐다.

 

[그림  3] 2023 년  2분기 블랙캣 랜섬웨어 피해 사례

 

국내 식품 대기업 피해

국내 식품 대기업이 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 내신은 한국과 중국에서 근무하는 피해 업체 직원의 개인정보를 포함해 약 1TB에 달하는 데이터가 유출됐다고 알렸다. 하지만 피해 업체 측은 이번 사건과 관련해 정보 공개 및 대응을 하지 않고 있다. 현재, 블랙캣 측은 자신들이 피해 업체를 공격했다고 주장하며 탈취한 데이터 중 일부를 직접 운영하는 데이터 유출 사이트에 게시했다.

 

미국 정보통신 업체 NCR Corporation피해

미국의 정보통신 업체 NCR Corporation이 사이버 공격을 받은 정황을 공개했다. 피해 업체는 자신들이 운영하는 서비스 중 결제 플랫폼에서 사용하는 데이터 센터가 공격받았다고 밝혔다. 또한, 사건 직후 고객에게 피해 사실을 메일로 공지하고 사내 보안 정책을 재수립했다고 안내했다. 한편, 외신은 이번 공격으로 피해 업체의 데이터 센터에 정전이 발생해 운영 중이던 서비스가 중단됐었다고 전했다. 블랙캣 측은 직접 운영하는 데이터 유출 사이트에 관련 내용을 게시해 자신들이 피해 업체를 공격했다고 주장했다.

 

캐나다 정보통신 업체 Constellation Software 피해

캐나다의 정보통신 업체 Constellation Software가 사이버 공격으로 운영에 영향을 받았다. 피해 업체는 이번 공격으로 재무 관련 시스템의 일부가 공격에 노출됐고 사건 당시 네트워크를 차단해 추가 피해를 방지했다. 이후 조사 결과 데이터가 유출된 정황을 확인해 관련 고객에게 개인정보 유출을 안내했다. 블랙캣 측은 자신들이 공격했다고 주장하며 피해 업체에서 훔친 데이터의 일부를 직접 운영하는 데이터 유출 사이트에 게시했다.

 

 

기타 랜섬웨어 피해 사례

2023년 2분기에는 다수의 배후가 밝혀지지 않은 랜섬웨어 피해 사례가 존재하며, 의료 기관 및 교육 기관에 대한 랜섬웨어 공격이 다량 발생했다.

 

[그림  4] 2023 년  2분기 기타 랜섬웨어 피해 사례

 

미국 패스트푸드 업체 Yum! Brands 피해

미국의 패스트푸드 업체 Yum! Brands가 랜섬웨어 공격으로 데이터가 유출된 정황을 공개했다. 피해 업체는 사건 당시 약 300개의 지점의 영업이 중단됐으며 추가 피해를 방지하기 위해 네트워크를 차단했다고 밝혔다. 이후, 지난 4월 말 수사 결과를 발표하며 직원의 개인정보가 유출된 정황을 확인해 당사자들에게 공지했다고 알렸다. 이에 대해 외신은 유출된 파일에서 이름, 운전면허증 및 주민등록번호 등의 개인정보가 발견됐으며 아직 사건 관련 세부 정보는 공개되지 않았다고 전했다.

 

미국 의료 소프트웨어 업체 NextGen Healthcare 피해

미국의 의료 소프트웨어 업체 NextGen Healthcare가 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 피해 업체는 사건 조사 결과 3월 말경 사내 시스템에서 무단 침입 이력을 확인했고 이로 인해 데이터가 유출됐다고 밝혔다. 또한, 유출된 정보는 이름, 생년월일 및 주민등록번호를 포함한 개인정보라고 덧붙였다. 외신에 따르면 이번 공격으로 약 100만 명의 고객 정보가 유출된 것으로 알려졌고 아직 사건 관련 세부 정보는 공개되지 않았다.

 

영국 교육 기관 맨체스터 대학교 피해

영국의 교육 기관 맨체스터 대학교가 사이버 공격을 받은 정황을 공개했다. 외신은 피해 기관에서 공부하는 다수의 학생이 공격자로부터 데이터를 탈취했다는 내용의 메일을 받았다고 알렸다. 이 사건을 확인한 피해 기관은 개인정보가 유출된 당사자에게 개별적으로 연락을 취했다고 밝혔다. 또한, 관련 사건에 대해 수사가 진행 중이며 새로운 내용이 업데이트되면 공지하겠다고 전했다.

 

 

 2. 랜섬웨어 통계

2023년 2분기(4월 1일 ~ 6월 30일)에 활동이 많았던 랜섬웨어의 구글 트렌드 검색어 조사 결과 락빗(LockBit) 랜섬웨어가 가장 많이 검색됐다. 특히 락빗 랜섬웨어의 검색량이 최고치를 달성한 5월 3주차에는 인도네시아의 금융 업체 BSI 피해 사례가 있었다. 블랙바스타 랜섬웨어의 검색량이 가장 많은 4월 4주차에는 캐나다의 출판 업체 Yellow Pages 피해 사례가 있었다. 마지막으로 블랙캣 랜섬웨어가 많은 검색량을 달성한 5월 4주차에 국내 식품 대기업 피해 사례가 있었다.

 

[그림  5]  구글 트렌드  -  분기별 랜섬웨어 관심도 비교

  

다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 58곳의 정보를 취합한 결과이다.

2023년 2분기(4월 1일 ~ 6월 30일)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 4월에 데이터 유출이 가장 많이 발생했다.

 

[그림  6] 2023 년  2분기 월별 데이터 유출 현황

 

2023년 2분기(4월 1일 ~ 6월 30일)에 발생한 데이터 유출 건을 국가별로 비교했을 때 미국이 44%로 가장 높은 비중을 차지했고, 프랑스가 5%, 캐나다가 4%로 그 뒤를 따랐다.

 

[그림  7] 2023 년  2분기 국가별 데이터 유출 비율

 

2023년 2분기(4월 1일 ~ 6월 30일)에 발생한 데이터 유출 건을 산업별로 비교했을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야가 그 다음으로 많은 공격을 받았다. 또한, 건설/부동산 분야가 그 뒤를 따랐다.

 

[그림 8] 2023년 2분기 산업별 데이터 유출 현황