2023년 10~12월, 블랙캣, 록빗 랜섬웨어 등에 의한 주요 공격 사례 발생
잉카인터넷 시큐리티대응센터, 2023년 4분기 랜섬웨어 동향 보고서 발표
[보안뉴스 김영명 기자] 2023년 4분기 3개월 동안 랜섬웨어 동향을 조사한 결과, 국내외에서 블랙캣(BlackCat) 랜섬웨어와 록빗(LockBit) 랜섬웨어 등 랜섬웨어로 인한 피해가 다수 발견됐다. 10월에는 독일의 한 숙박업체가 블랙캣 랜섬웨어의 공격을 받았고, 11월과 12월에는 캐나다 이주 서비스 제공 업체가 록빗 랜섬웨어, 국내 한 골프업체가 블랙수트(BlackSuit) 랜섬웨어 공격을 받았다.
[이미지=gettyimagesbank]
잉카인터넷 시큐리티대응센터는 최근 2023년 4분기(2023년 10월 1일~12월 31일)에 우리나라를 포함해 전 세계에서 발생한 랜섬웨어 동향을 분석, 발표했다.
▲2023년 4분기 블랙캣 랜섬웨어 피해 사례[자료=잉카인터넷 시큐리티대응센터]
먼저 ‘블랙캣(BlackCat) 랜섬웨어’ 피해 사례를 보면, 2023년 12월에 미국 법무부에서 블랙캣 랜섬웨어 조직이 운영하는 다크웹 사이트를 압수했다는 사실을 발표했다. 또한 해당 수사 과정에서 FBI 측이 암호 해독 도구를 개발해 추가 피해를 막았다고 전했다. 현재 블랙캣 해킹그룹이 운영하던 데이터 유출 사이트에 접속하면 국제 법 집행 조치의 일환으로 압수됐다는 문구와 함께 국제 법 집행기관의 로고를 보여준다.
두 번째로 ‘독일 숙박업체 Motel One’이 사이버 공격의 영향으로 고객의 개인정보가 유출된 정황을 공개했다. 피해 업체는 약 200개의 신용카드와 주소 정보가 유출돼 피해를 입은 개인에게 연락할 예정이라고 공지했다. 한편 블랙캣 측은 자신들이 피해 업체를 공격했다고 주장하며 직접 운영하는 데이터 유출 사이트에 총 6TB에 달하는 파일을 게시했다. 또한 공개한 데이터에 고객의 개인정보와 함께 업체 내부 문서도 포함됐다고 언급했다.
세 번째로 ‘일본 전기 커넥터 제조업체 JAE(Japan Avication Electronics)’는 최근 사이버 공격으로 데이터가 유출된 정황을 공개했다. JAE는 2023년 11월 초에 발생한 공격으로 시스템의 운영이 중단돼 이메일 송수신이 지연됐다고 전했다. 한 달이 지난 12월에는 당시 공격으로 인해 서버의 파일이 암호화되고 해외 자회사의 서버에 저장된 데이터가 유출됐다고 추가 공지를 올렸다. 외신은 블랙캣 측에서 자신들의 피해 업체를 공격해 내부 정보가 담긴 약 15만개의 문서를 탈취했다고 주장하는 정황을 발견했다고 보도했다.
네 번째로 ‘미국 병원 Norton Healthcare 피해’가 알려졌다. 미국의 병원 Norton Healthcare에서 사이버 공격을 받아 개인정보가 유출된 정황을 공개했다. 이 병원은 11월 중순까지 이어진 사건 조사로 2023년 5월 초에 보안사고가 발생한 것을 확인했다고 공지했다. 그 영향으로 유출된 파일 중에는 환자와 직원의 개인정보뿐만 아니라 의료정보도 포함됐다고 언급했다. 한편 블랙캣 측은 자신들이 이 병원의 의료 시스템에서 4.7TB의 데이터를 탈취했다고 주장했다. 근거로는 일부 개인정보가 포함된 수십 개의 샘플을 게시한 것으로 드러났다.
▲2023년 4분기 락빗 랜섬웨어 피해 사례[자료=잉카인터넷 시큐리티대응센터]
다섯 번째로 ‘록빗(LockBit) 랜섬웨어 피해 사례’가 있다. 지난해 12월에 블랙캣 측의 운영 사이트가 압수되고, 노이스케이프(NoEscape) 측의 운영자가 자취를 감추는 사건이 발생했다. 그 이후 록빗 랜섬웨어에서는 블랙캣과 노이스케이프 랜섬웨어의 개발자를 모집하는 정황이 포착됐다. 외신은 블랙캣의 피해자였던 곳이 락빗의 피해자 목록에 추가된 듯하다고 전했다.
여섯 번째로 ‘미국 항공기 제조 업체 보잉(Boeing) 피해’가 있다. 2023년 10월에 락빗 측은 미국의 항공기 제조업체 보잉을 공격해 데이터를 탈취했다고 주장했다. 이에 대해 피해 업체는 사이버 공격을 받아 조사 중이나 배후자와 데이터 유출 여부에 대해서는 밝히지 않은 것으로 알려졌다. 외신은 락빗 측이 피해 업체에서 탈취한 데이터의 샘플을 공개하면서 지난해 11월 초까지 랜섬머니를 요구했다고 전했다. 현재 락빗의 데이터 유출 사이트에 보잉에게서 탈취한 데이터 전체가 공개됐다.
일곱 번째로 ‘캐나다 이주 서비스 제공 업체 BGRS, SIRVA 피해’가 있다. BGRS와 SIRVA에서 발생한 사이버 공격의 영향으로 캐나다 정부 직원의 개인정보가 유출됐다. 캐나다 정부는 두 업체의 시스템이 공격받아 1999년 이전에 서비스를 이용한 직원의 개인정보가 유출됐다고 언급했다. 사건 조사는 여전히 진행 중이며, 추가로 확인되는 내용은 공개할 예정이다. 한편 록빗 측에서는 두 업체 중 SIRVA에서 탈취한 데이터 1.5TB를 공개했다.
여덟 번째로 ‘영국 금융업체 Xeinadin 피해’가 알려졌다. Xeinadin이 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 외신은 피해 업체를 공격해 데이터를 탈취했다고 주장하는 록빗 측의 게시글을 보도했다. 해당 게시글에는 피해 업체와 고객의 개인정보 등 탈취한 데이터의 정보가 설명됐다고 전했다. 록빗 측은 피해 업체에게 데이터 공개를 빌미로 12월 25일까지 협상을 요구한 것으로 알려졌다. 기한이 지난 이후 록빗의 데이터 유출 사이트에 피해 업체의 1.5TB 규모의 데이터가 공개됐다.
▲2023년 4분기 기타 랜섬웨어 피해 사례[자료=잉카인터넷 시큐리티대응센터]
그밖에도 지난해 4분기에는 노이스케이프(NoEscape)와 리시다(Rhysida) 및 헌터스 인터내셔널(Hunters International) 랜섬웨어 등 다양한 랜섬웨어의 피해 사례가 발생했다. 캐나라 라발의 시민문화회관에서 10월 초에 발생한 사이버 공격으로 개인정보가 유출된 정황을 공개했다. 피해 기관은 공격의 영향으로 유출된 개인정보에는 회원의 전화번호, 생년월일 및 신용카드 정보 등이 포함됐다고 언급했다. 노이스케이프 측은 자신들이 피해 기관을 공격해 약 86GB에 달하는 데이터를 탈취했다고 주장했다.
리시다(Rhysida) 랜섬웨어 그룹은 2023년 11월에 영국의 국립 도서관을 공격했다고 주장하며 탈취한 데이터를 공개했다. 처음에는 이 데이터로 온라인 경매를 시도한 후 1개월이 지나 데이터 대부분을 공개한 것으로 알려졌다. 피해 도서관은 10월 말에 사이버 공격을 받아 시스템과 서비스가 중단됐었으며, 개인정보 유출 사실은 개인 메일로 알렸다고 공지했다. 현재 피해 도서관의 홈페이지는 복구됐지만 여전히 사건 조사와 서비스 복구를 진행 중이라고 전했다.
12월 초에는 미국의 의료기관 Fred Hutchinson에서 사이버 보안 사고로 개인정보가 유출된 사실을 공지했다. 피해 기관은 11월 중순에 발생한 사고로 환자의 개인정보와 의료 정보가 유출됐다고 언급했다. 그 이후 12월 중순부터 피해자들에게 우편으로 관련 내용을 보내고 있다고 밝혔다, 외신은 피해 기관의 환자들이 해당 사고 이후로 개인정보가 추가 공격에 사용될 것이라는 이메일을 받았다고 보도했다. 헌터스 인터내셔널(Hunters International) 랜섬웨어 측은 자신들이 피해 기관을 공격했다고 주장하기도 했다고 전해졌다.
지난해 4분기 랜섬웨어 통계 분석해보면
2023년 4분기에 활동이 많았던 랜섬웨어의 구글 트렌드 검색어 조사 결과 록빗 랜섬웨어가 가장 많이 검색됐다. 특히 록빗 랜섬웨어의 검색량이 최고치를 달성한 11월 2주차에는 미국의 전자 부품 제조업체 Kyosera AVX 피해 사례가 있었다. 블랙캣 랜섬웨어가 가장 많은 검색량을 보여준 11월 3주차에는 미국의 의료 업체 Henry Schein 피해 사례가 있었다. 노이스케이프 랜섬웨어의 검색량이 많았던 11월 4주차에는 미국 필라델피아의 박물관이 피해를 입었다.
▲2023년 4분기 월별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]
랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 41곳의 정보를 취합했다. 지난해 4분기에 발생한 데이터 유출 현황을 월별로 비교했을 때 11월에 데이터 유출이 가장 많이 발생했다.
▲2023년 4분기 국가별 데이터 유출 비율[자료=잉카인터넷 시큐리티대응센터]
2023년 10월 1일부터 12월 31일 사이에 발생한 전 세계 데이터 유출 건을 국가별로 비교했다. 미국이 46%로 가장 높은 비중을 차지했고, 영국이 8%, 캐나다가 5%로 그 뒤를 이었다. 프랑스와 이탈리아, 독일은 각각 4%로 분석됐으며, 나머지 29%는 그 외의 국가로 분석됐다.
2023년 10월 1일~12월 31일 사이에 발생한 데이터 유출 건을 산업별로 비교했을 때 제조·공급 분야가 가장 많은 공격을 받았으며, 기술·통신 분야가 그 뒤로 많은 피해를 입었다. 이어서 의료·제약, 건설·부동산, 도소매업·전자상거래, 법률, 유통·무역·운송, 금융 서비스, 교육 서비스, 정부·공공기관 등의 순으로 분석됐다.
[김영명 기자(boan@boannews.com)]
잉카인터넷 시큐리티대응센터, 2023년 4분기 랜섬웨어 동향 보고서 발표
[보안뉴스 김영명 기자] 2023년 4분기 3개월 동안 랜섬웨어 동향을 조사한 결과, 국내외에서 블랙캣(BlackCat) 랜섬웨어와 록빗(LockBit) 랜섬웨어 등 랜섬웨어로 인한 피해가 다수 발견됐다. 10월에는 독일의 한 숙박업체가 블랙캣 랜섬웨어의 공격을 받았고, 11월과 12월에는 캐나다 이주 서비스 제공 업체가 록빗 랜섬웨어, 국내 한 골프업체가 블랙수트(BlackSuit) 랜섬웨어 공격을 받았다.
[이미지=gettyimagesbank]
잉카인터넷 시큐리티대응센터는 최근 2023년 4분기(2023년 10월 1일~12월 31일)에 우리나라를 포함해 전 세계에서 발생한 랜섬웨어 동향을 분석, 발표했다.
▲2023년 4분기 블랙캣 랜섬웨어 피해 사례[자료=잉카인터넷 시큐리티대응센터]
먼저 ‘블랙캣(BlackCat) 랜섬웨어’ 피해 사례를 보면, 2023년 12월에 미국 법무부에서 블랙캣 랜섬웨어 조직이 운영하는 다크웹 사이트를 압수했다는 사실을 발표했다. 또한 해당 수사 과정에서 FBI 측이 암호 해독 도구를 개발해 추가 피해를 막았다고 전했다. 현재 블랙캣 해킹그룹이 운영하던 데이터 유출 사이트에 접속하면 국제 법 집행 조치의 일환으로 압수됐다는 문구와 함께 국제 법 집행기관의 로고를 보여준다.
두 번째로 ‘독일 숙박업체 Motel One’이 사이버 공격의 영향으로 고객의 개인정보가 유출된 정황을 공개했다. 피해 업체는 약 200개의 신용카드와 주소 정보가 유출돼 피해를 입은 개인에게 연락할 예정이라고 공지했다. 한편 블랙캣 측은 자신들이 피해 업체를 공격했다고 주장하며 직접 운영하는 데이터 유출 사이트에 총 6TB에 달하는 파일을 게시했다. 또한 공개한 데이터에 고객의 개인정보와 함께 업체 내부 문서도 포함됐다고 언급했다.
세 번째로 ‘일본 전기 커넥터 제조업체 JAE(Japan Avication Electronics)’는 최근 사이버 공격으로 데이터가 유출된 정황을 공개했다. JAE는 2023년 11월 초에 발생한 공격으로 시스템의 운영이 중단돼 이메일 송수신이 지연됐다고 전했다. 한 달이 지난 12월에는 당시 공격으로 인해 서버의 파일이 암호화되고 해외 자회사의 서버에 저장된 데이터가 유출됐다고 추가 공지를 올렸다. 외신은 블랙캣 측에서 자신들의 피해 업체를 공격해 내부 정보가 담긴 약 15만개의 문서를 탈취했다고 주장하는 정황을 발견했다고 보도했다.
네 번째로 ‘미국 병원 Norton Healthcare 피해’가 알려졌다. 미국의 병원 Norton Healthcare에서 사이버 공격을 받아 개인정보가 유출된 정황을 공개했다. 이 병원은 11월 중순까지 이어진 사건 조사로 2023년 5월 초에 보안사고가 발생한 것을 확인했다고 공지했다. 그 영향으로 유출된 파일 중에는 환자와 직원의 개인정보뿐만 아니라 의료정보도 포함됐다고 언급했다. 한편 블랙캣 측은 자신들이 이 병원의 의료 시스템에서 4.7TB의 데이터를 탈취했다고 주장했다. 근거로는 일부 개인정보가 포함된 수십 개의 샘플을 게시한 것으로 드러났다.
▲2023년 4분기 락빗 랜섬웨어 피해 사례[자료=잉카인터넷 시큐리티대응센터]
다섯 번째로 ‘록빗(LockBit) 랜섬웨어 피해 사례’가 있다. 지난해 12월에 블랙캣 측의 운영 사이트가 압수되고, 노이스케이프(NoEscape) 측의 운영자가 자취를 감추는 사건이 발생했다. 그 이후 록빗 랜섬웨어에서는 블랙캣과 노이스케이프 랜섬웨어의 개발자를 모집하는 정황이 포착됐다. 외신은 블랙캣의 피해자였던 곳이 락빗의 피해자 목록에 추가된 듯하다고 전했다.
여섯 번째로 ‘미국 항공기 제조 업체 보잉(Boeing) 피해’가 있다. 2023년 10월에 락빗 측은 미국의 항공기 제조업체 보잉을 공격해 데이터를 탈취했다고 주장했다. 이에 대해 피해 업체는 사이버 공격을 받아 조사 중이나 배후자와 데이터 유출 여부에 대해서는 밝히지 않은 것으로 알려졌다. 외신은 락빗 측이 피해 업체에서 탈취한 데이터의 샘플을 공개하면서 지난해 11월 초까지 랜섬머니를 요구했다고 전했다. 현재 락빗의 데이터 유출 사이트에 보잉에게서 탈취한 데이터 전체가 공개됐다.
일곱 번째로 ‘캐나다 이주 서비스 제공 업체 BGRS, SIRVA 피해’가 있다. BGRS와 SIRVA에서 발생한 사이버 공격의 영향으로 캐나다 정부 직원의 개인정보가 유출됐다. 캐나다 정부는 두 업체의 시스템이 공격받아 1999년 이전에 서비스를 이용한 직원의 개인정보가 유출됐다고 언급했다. 사건 조사는 여전히 진행 중이며, 추가로 확인되는 내용은 공개할 예정이다. 한편 록빗 측에서는 두 업체 중 SIRVA에서 탈취한 데이터 1.5TB를 공개했다.
여덟 번째로 ‘영국 금융업체 Xeinadin 피해’가 알려졌다. Xeinadin이 사이버 공격을 받아 데이터가 유출된 정황이 발견됐다. 외신은 피해 업체를 공격해 데이터를 탈취했다고 주장하는 록빗 측의 게시글을 보도했다. 해당 게시글에는 피해 업체와 고객의 개인정보 등 탈취한 데이터의 정보가 설명됐다고 전했다. 록빗 측은 피해 업체에게 데이터 공개를 빌미로 12월 25일까지 협상을 요구한 것으로 알려졌다. 기한이 지난 이후 록빗의 데이터 유출 사이트에 피해 업체의 1.5TB 규모의 데이터가 공개됐다.
▲2023년 4분기 기타 랜섬웨어 피해 사례[자료=잉카인터넷 시큐리티대응센터]
그밖에도 지난해 4분기에는 노이스케이프(NoEscape)와 리시다(Rhysida) 및 헌터스 인터내셔널(Hunters International) 랜섬웨어 등 다양한 랜섬웨어의 피해 사례가 발생했다. 캐나라 라발의 시민문화회관에서 10월 초에 발생한 사이버 공격으로 개인정보가 유출된 정황을 공개했다. 피해 기관은 공격의 영향으로 유출된 개인정보에는 회원의 전화번호, 생년월일 및 신용카드 정보 등이 포함됐다고 언급했다. 노이스케이프 측은 자신들이 피해 기관을 공격해 약 86GB에 달하는 데이터를 탈취했다고 주장했다.
리시다(Rhysida) 랜섬웨어 그룹은 2023년 11월에 영국의 국립 도서관을 공격했다고 주장하며 탈취한 데이터를 공개했다. 처음에는 이 데이터로 온라인 경매를 시도한 후 1개월이 지나 데이터 대부분을 공개한 것으로 알려졌다. 피해 도서관은 10월 말에 사이버 공격을 받아 시스템과 서비스가 중단됐었으며, 개인정보 유출 사실은 개인 메일로 알렸다고 공지했다. 현재 피해 도서관의 홈페이지는 복구됐지만 여전히 사건 조사와 서비스 복구를 진행 중이라고 전했다.
12월 초에는 미국의 의료기관 Fred Hutchinson에서 사이버 보안 사고로 개인정보가 유출된 사실을 공지했다. 피해 기관은 11월 중순에 발생한 사고로 환자의 개인정보와 의료 정보가 유출됐다고 언급했다. 그 이후 12월 중순부터 피해자들에게 우편으로 관련 내용을 보내고 있다고 밝혔다, 외신은 피해 기관의 환자들이 해당 사고 이후로 개인정보가 추가 공격에 사용될 것이라는 이메일을 받았다고 보도했다. 헌터스 인터내셔널(Hunters International) 랜섬웨어 측은 자신들이 피해 기관을 공격했다고 주장하기도 했다고 전해졌다.
지난해 4분기 랜섬웨어 통계 분석해보면
2023년 4분기에 활동이 많았던 랜섬웨어의 구글 트렌드 검색어 조사 결과 록빗 랜섬웨어가 가장 많이 검색됐다. 특히 록빗 랜섬웨어의 검색량이 최고치를 달성한 11월 2주차에는 미국의 전자 부품 제조업체 Kyosera AVX 피해 사례가 있었다. 블랙캣 랜섬웨어가 가장 많은 검색량을 보여준 11월 3주차에는 미국의 의료 업체 Henry Schein 피해 사례가 있었다. 노이스케이프 랜섬웨어의 검색량이 많았던 11월 4주차에는 미국 필라델피아의 박물관이 피해를 입었다.
▲2023년 4분기 월별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]
랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 41곳의 정보를 취합했다. 지난해 4분기에 발생한 데이터 유출 현황을 월별로 비교했을 때 11월에 데이터 유출이 가장 많이 발생했다.
▲2023년 4분기 국가별 데이터 유출 비율[자료=잉카인터넷 시큐리티대응센터]
2023년 10월 1일부터 12월 31일 사이에 발생한 전 세계 데이터 유출 건을 국가별로 비교했다. 미국이 46%로 가장 높은 비중을 차지했고, 영국이 8%, 캐나다가 5%로 그 뒤를 이었다. 프랑스와 이탈리아, 독일은 각각 4%로 분석됐으며, 나머지 29%는 그 외의 국가로 분석됐다.
2023년 10월 1일~12월 31일 사이에 발생한 데이터 유출 건을 산업별로 비교했을 때 제조·공급 분야가 가장 많은 공격을 받았으며, 기술·통신 분야가 그 뒤로 많은 피해를 입었다. 이어서 의료·제약, 건설·부동산, 도소매업·전자상거래, 법률, 유통·무역·운송, 금융 서비스, 교육 서비스, 정부·공공기관 등의 순으로 분석됐다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
