동향 리포트/분기별 동향 리포트

2023년 4분기 랜섬웨어 동향 보고서

TACHYON & ISARC 2024. 1. 10. 14:58

1. 랜섬웨어 피해 사례

2023 4분기(10 1 ~ 12 31) 동안 랜섬웨어 동향을 조사한 결과, 국내/외에서 블랙캣(BlackCat)과 락빗(LockBit) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 10월에는 독일의 숙박 업체가 블랙캣 랜섬웨어 공격을 받았고, 11월과 12월에는 캐나다 이주 서비스 제공 업체와 국내 골프 업체가 각각 락빗과 블랙수트(BlackSuit) 랜섬웨어 공격을 받아 피해가 발생했다.

 

[그림 1] 2023년 4분기 랜섬웨어 동향

 

블랙캣(BlackCat) 랜섬웨어 피해 사례

지난 12, 미국의 법무부에서 블랙캣 랜섬웨어 조직이 운영하는 다크웹 사이트를 압수했다는 사실을 발표했다. 또한 해당 수사 과정에서 FBI 측이 암호 해독 도구를 개발해 추가 피해를 막았다고 전했다. 현재, 블랙캣 측이 운영하던 데이터 유출 사이트에 접속하면 국제 법 집행 조치의 일환으로 압수됐다는 문구와 함께 국제 법 집행 기관의 로고를 보여준다.

 

[그림 2] 2023년 4분기 블랙캣 랜섬웨어 피해 사례

 

독일 숙박 업체 Motel One 피해

독일의 숙박 업체 Motel One이 사이버 공격의 영향으로 고객의 개인정보가 유출된 정황을 공개했다. 피해 업체는 약 200개의 신용카드와 주소 정보가 유출돼 피해를 입은 개인에게 연락할 예정이라고 공지했다. 한편, 블랙캣 측은 자신들이 피해 업체를 공격했다고 주장하며 직접 운영하는 데이터 유출 사이트에 총 6TB에 달하는 파일을 게시했다. 또한, 공개한 데이터에 고객의 개인정보와 함께 업체 내부 문서도 포함됐다고 언급했다.

 

일본 전기 커넥터 제조 업체 JAE 피해

일본의 전기 커넥터 제조 업체 JAE (Japan Aviation Electronics)가 사이버 공격으로 데이터가 유출된 정황을 공개했다. 피해 업체는 11월 초에 발생한 공격으로 시스템의 운영이 중단돼 이메일 송수신이 지연됐다고 전했다. 이후 12월에는 당시 공격으로 인해 서버의 파일이 암호화되고 해외 자회사의 서버에 저장된 데이터가 유출됐다고 추가 공지했다. 해당 사건에 대해 외신은 블랙캣 측에서 자신들이 피해 업체를 공격해 내부 정보가 담긴 약 150,000개의 문서를 탈취했다고 주장하는 정황을 발견했다고 보도했다.

 

미국 병원 Norton Healthcare 피해

미국의 병원 Norton Healthcare에서 사이버 공격을 받아 개인정보가 유출된 정황을 공개했다. 피해 병원은 11월 중순까지 이어진 사건 조사로 5월 초에 보안 사고가 발생한 것을 확인했다고 공지했다. 그 영향으로 유출된 파일 중에는 환자와 직원의 개인정보뿐만 아니라 의료 정보도 포함됐다고 언급했다. 한편, 블랙캣 측은 자신들이 피해 병원을 공격해 의료 시스템에서 4.7TB의 데이터를 탈취했다고 주장했다. 또한, 그 근거로 일부 환자의 개인정보가 포함된 수십 개의 샘플 파일을 게시한 것으로 알려졌다.

 

 

락빗(LockBit) 랜섬웨어 피해 사례

12월에 블랙캣 측의 운영 사이트가 압수되고, 노이스케이프(NoEscape) 측의 운영자가 자취를 감추는 사건이 발생했다. 이후 락빗 랜섬웨어에서는 블랙캣과 노이스케이프 랜섬웨어의 개발자를 모집하는 정황이 발견됐다. 이에 대해 외신은 블랙캣의 피해자였던 곳이 락빗의 피해자 목록에 추가되는 정황을 보도했다.

 

[그림 3] 2023년 4분기 락빗 랜섬웨어 피해 사례

 

미국 항공기 제조 업체 Boeing 피해

지난 10, 락빗 측은 미국의 항공기 제조 업체 Boeing을 공격해 데이터를 탈취했다고 주장했다. 이에 대해 피해 업체는 사이버 공격을 받아 조사 중이나 배후자와 데이터 유출 여부에 대해서는 밝히지 않은 것으로 알려졌다. 한편, 외신은 락빗 측이 피해 업체에서 탈취한 데이터의 샘플을 공개하면서 11월 초까지 랜섬머니를 요구했다고 전했다. 현재는 락빗의 데이터 유출 사이트에 Boeing을 공격해 탈취한 데이터 전체가 공개됐다.

 

캐나다 이주 서비스 제공 업체 BGRS, SIRVA 피해

캐나다의 이주 서비스 제공 업체 BGRS SIRVA에서 발생한 사이버 공격의 영향으로 캐나다 정부 직원의 개인정보가 유출됐다. 캐나다 정부는 두 업체의 시스템이 공격받아 1999년 이전에 서비스를 이용한 직원의 개인정보가 유출됐다고 언급했다. 또한, 사건 조사는 여전히 진행 단계이며 추가로 확인되는 내용은 공개할 예정이라고 전했다. 한편, 락빗 측에서는 두 업체 중 SIRVA에서 탈취한 데이터 1.5TB를 공개했다.

 

영국 금융 업체 Xeinadin 피해

영국의 금융 업체 Xeinadin이 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 외신은 피해 업체를 공격해 데이터를 탈취했다고 주장하는 락빗 측의 게시글을 보도했다. 또한, 해당 게시글에는 피해 업체와 고객의 개인 정보 등 탈취한 데이터의 정보가 설명됐다고 전했다. 이에 대해 락빗 측은 피해 업체에게 데이터 공개를 빌미로 12 25일까지 협상을 요구한 것으로 알려졌다. 기한이 지난 현재는 락빗에서 운영하는 데이터 유출 사이트에 피해 업체의 데이터 1.5TB가 공개됐다.

 

 

기타 랜섬웨어 피해 사례

20234분기에는 노이스케이프(NoEscape)와 리시다(Rhysida) 및 헌터스 인터내셔널(Hunters International) 랜섬웨어 등 다양한 랜섬웨어의 피해 사례가 발생했다.

 

[그림 4] 2023년 4분기 기타 랜섬웨어 피해 사례

 

캐나다 라발 시민문화회관 피해

캐나다 라발의 시민문화회관에서 10월 초에 발생한 사이버 공격으로 개인정보가 유출된 정황을 공개했다. 피해 기관은 공격의 영향으로 유출된 개인정보에는 회원의 전화번호, 생년월일 및 신용카드 정보 등이 포함된다고 언급했다. 이를 악용한 이메일과 메시지 등의 추가 사기가 발생할 수 있어 회원들에게 주의를 권고했다. 한편, 노이스케이프 측은 자신들이 피해 기관을 공격해 약 86GB에 달하는 데이터를 탈취했다고 주장했다.

 

영국 국립 도서관 피해

지난 11, 리시다 측에서 영국의 국립 도서관을 공격했다고 주장하면서 탈취한 데이터를 공개했다. 처음에는 탈취한 데이터로 온라인 경매를 시도한 후 한 달이 지나 대부분의 데이터를 공개한 것으로 알려졌다. 이에 대해 피해 도서관은 10월 말에 사이버 공격을 받아 시스템과 서비스가 중단됐었다고 공지했다. 또한, 공격자가 공개한 데이터 중에는 사용자의 개인정보가 포함돼 개인에게 메일로 관련 사실을 전달했다고 언급했다. 현재, 접속이 불가능했던 피해 도서관의 홈페이지는 복구됐지만 여전히 사건 조사와 서비스 복구를 진행 중이라고 전했다.

 

미국 의료 기관 Fred Hutchinson 피해

12월 초, 미국의 의료 기관 Fred Hutchinson에서 사이버 보안 사고로 개인정보가 유출된 사실을 공지했다. 피해 기관은 11월 중순에 발생한 사고로 환자의 개인정보와 의료 정보가 유출됐다고 언급했다. 이후 12월 중순부터 영향을 받은 당사자에게 우편으로 관련 내용을 보내는 중이라고 덧붙였다. 한편, 외신은 피해 기관의 환자들이 해당 사고 이후로 개인정보가 추가 공격에 사용될 것이라는 이메일을 받았다고 보도했다. 또한, 헌터스 인터내셔널 랜섬웨어 측에서 자신들이 피해 기관을 공격했다고 주장하는 정황을 전했다.

 

 

2. 랜섬웨어 통계

20234분기(10 1 ~ 1231)에 활동이 많았던 랜섬웨어의 구글 트렌드 검색어 조사 결과 락빗(LockBit) 랜섬웨어가 가장 많이 검색됐다. 특히 락빗 랜섬웨어의 검색량이 최고치를 달성한 112주차에는 미국의 전자 부품 제조 업체 Kyosera AVX 피해 사례가 있었다. 블랙캣(BlackCat) 랜섬웨어가 가장 많은 검색량을 보여준 113주차에는 미국의 의료 업체 Henry Schein 피해 사례가 있었다. 마지막으로 노이스케이프(NoEscape) 랜섬웨어의 검색량이 가장 많은 114주차에는 미국 필라델피아의 박물관 피해 사례가 있었다.

 

[그림 5] 구글 트렌드 - 분기별 랜섬웨어 관심도 비교

 

다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 41곳의 정보를 취합한 결과이다. 20234분기(10 1 ~ 1231)에 발생한 데이터 유출 현황을 월별로 비교하였을 때 11월에 데이터 유출이 가장 많이 발생했다.

 

[그림 6] 2023년 4분기 월별 데이터 유출 현황

 

20234분기(10 1 ~ 1231)에 발생한 데이터 유출 건을 국가별로 비교했을 때 미국이 46%로 가장 높은 비중을 차지했고, 영국이 8%, 캐나다가 5%로 그 뒤를 따랐다.

 

[그림 7] 2023년 4분기 국가별 데이터 유출 비율

 

20234분기(10 1 ~ 1231)에 발생한 데이터 유출 건을 산업별로 비교했을 때 제조/공급 분야가 가장 많은 공격을 받았고, 기술/통신 분야가 그 다음으로 많은 공격을 받았다. 또한, 의료/제약 분야가 그 뒤를 따랐다.

 

[그림 8] 2023년 4분기 산업별 데이터 유출 현황