잉카인터넷 시큐리티대응센터, 2024년 3분기 랜섬웨어 동향 보고서 발표
록빗 랜섬웨어 : 미국 페어필드 메모리얼 병원, 캐나다 토론토 교육위원회 피해
랜섬허브 랜섬웨어 : 국내 식품기업 대상, 미국 석유·가스 서비스업
[보안뉴스 김영명 기자] 2024년 3분기에는 국내외에서 록빗(LockBit)과 랜섬허브(RansomHub) 등 중심의 랜섬웨어 공격으로 인한 피해가 다수 확인됐다. 전 세계에서 발생한 주요 사이버 공격을 살펴보면, 먼저 우리나라의 종합 식품기업 대상(DAESANG)의 미국법인이 랜섬허브의 공격을 받았다. 이어 8월에는 캐나다 토론토의 교육위원회가 록빗(LockBit)의 공격을, 9월에는 미국 시애틀의 항만청이 리시다(Rhysida) 랜섬웨어의 공격을 받았다.
[이미지=gettyimagesbank]
잉카인터넷 시큐리티대응센터는 최근 7월 1일부터 9월 30일까지 3개월의 전 세계 랜섬웨어 동향을 조사해 발표했다. 먼저 록빗 랜섬웨어 피해 사례를 살펴봤다. 록빗은 2019년 말에 처음 등장해 전 세계를 대상으로 약 2,500개 이상의 기관을 공격한 것으로 추정되는 랜섬웨어 조직이다. 올해 1분기에는 국제 법 집행 기관의 크로노스 작전(Operation Cronos)으로 인프라가 폐쇄됐으나 다른 사이트로 옮겨 활동을 재개해왔다. 3분기에는 조직의 관계자 두 명이 체포돼 미국 법원에서 록빗 랜섬웨어 공격에 여러 차례 가담한 사실을 인정한 소식이 전해졌다.
7월 초에는 ‘미국 병원 페어필드 메모리얼 병원(Fairfield Memorial Hospital)’이 록빗 랜섬웨어의 피해를 입었다. 록빗은 자신들이 운영하는 데이터 유출 사이트에 피해 병원의 게시글을 작성하면서, 7월 17일에 데이터를 공개할 것이라고 언급했다. 이에 대해 페어필드 메모리얼 병원은 7월초에 피해 소식을 홈페이지에 공지하며, 개인에게 미칠 영향의 범위를 파악하는 등의 조사를 진행 중이라고 전했다. 한편 록빗의 사이트에서는 여전히 피해 병원의 게시글을 확인할 수 있다.
록빗 랜섬웨어는 ‘캐나다 토론토 교육 위원회’에도 피해를 입혔다. 역시 사이트를 통해 캐나다 토론토의 교육 위원회에서 발생한 랜섬웨어 공격이 자신들이 일으켰다고 주장한 것. 피해 기관은 6월에 랜섬웨어 사고가 발생했음을 공지했으며, 피해 규모를 조사하고 있다고 전했다. 사고 발생 2개월 후, 2023학년도부터 등록된 학생의 이름과 생년월일 등 개인정보가 유출됐음을 추가로 공지했다. 한편, 록빗 랜섬웨어 조직은 데이터 유출 사이트에 피해 기관의 글을 게시하면서 탈취한 데이터의 공개를 빌미로 랜섬머니를 요구했다. 현재는 조직의 사이트에서 피해 기관의 데이터가 공개된 것으로 확인된다.
2024년 2월에 활동을 시작한 랜섬허브(RansomHub) 랜섬웨어 조직은 탈취한 데이터를 가장 높은 입찰자에게 판매하는 집단으로 알려졌다. 또한 암호화 도구를 분석한 결과 이전에 키클롭스(Cyclops)라고도 알려졌던 나이트(Knight) 랜섬웨어 조직의 암호화 도구를 기반으로 한다고 전해졌다. 이에 대해 보안 업체들은 나이트 랜섬웨어 조직이 올해 2월에 소스코드를 판매했으며, 랜섬허브 랜섬웨어 조직이 시작할 때 폐쇄된 것을 근거로 나이트의 리브랜딩이라고 추측하고 있다.
▲2024년 3분기 랜섬웨어 동향[자료=잉카인터넷 시큐리티대응센터]
올해 7월 초, 국내 종합 식품기업 대상(daesang)의 미국 법인이 랜섬허브 조직의 사이버 공격을 받아 데이터가 유출된 정황이 공개됐다. 보도에 따르면 이번 공격으로 대상은 매매계약서, 인보이스 및 상호기밀 계약서 등의 자료가 유출된 것으로 알려졌다. 이에 대해 대상은 랜섬웨어 감염이 아닌 일부 업무 파일이 부적절하게 유출된 것으로 확인됐다며, 사건 조사 결과를 전했다. 한편 랜섬허브 랜섬웨어 조직 측은 자신들이 피해 업체를 공격해 정보를 탈취했다고 주장하며 직접 운영하는 사이트에 약 100GB에 달하는 데이터 모두를 게시했다.
미국의 석유 및 가스 서비스 기업 할리버튼(Halliburton)이 랜섬허브 랜섬웨어 공격으로 IT 시스템과 사업 운영이 중단됐음을 밝혔다. 이로 인해 고객 송장 및 구매 주문서를 생성할 수 없었지만, 공격에 대해 자세한 내용을 공개하지 않아 고객들이 불만을 토로했다고 알려졌다. 공격 발생 이후 며칠 동안, 일부 SNS 사용자가 랜섬노트의 일부를 게시하면서 피해 업체가 랜섬허브 랜섬웨어 조직의 공격을 받았다고 주장했다. 그 이후 외신에서 공격이 사용된 샘플 파일을 분석한 결과 랜섬허브 랜섬웨어 암호화 도구로 보이는 실행 파일이 포함된 것을 확인했다고 언급했다. 또 이전에 알려진 버전과 다른 새로운 명령어가 추가된 것을 근거로 새로운 버전으로 확인된다고 덧붙였다.
2024년 3분기에는 리시다(Rhysida) 랜섬웨어 조직이 대규모 조직을 표적으로 삼는 사례가 다수 발생했다. 최근에는 교육, 제조 등 다양한 분야에서 활발한 공격 활동을 보였다. 특히 미국 보건복지부(HHS)의 보안 공지에 따르면 최근 의료기관을 표적으로 한 공격으로 미국 전역의 17개 병원과 166개 진료소에 영향을 미쳤다고 보고했다.
7월 초, 리시다 랜섬웨어 조직이 운영하는 데이터 유출 사이트에서 캐나다의 마케팅 대행업체 MYC Media의 글이 발견됐다. 해당 게시글에는 공격에 대한 자세한 내용을 공유하지는 않았지만 피해 업체에 7일 이내로 랜섬머니를 요구한 것이 확인됐다. 하지만 외신은 MYC Media의 공식 웹사이트는 정상적으로 운영되고 있으며, 피해 업체의 임원에게 연락했으나 검증할 수 없었다고 밝혔다. 한편 현재는 해당 게시글에서 2.7TB에 달하는 전체 데이터가 공개된 것으로 보인다.
미국의 요트 소매업체 마린맥스(MarineMax)에서 올해 3월에 있었던 사이버 보안 사고의 조사가 최근에 마무리됐다고 보고했다. 3월 중순, 피해 업체가 SEC에 제출한 서류에는 침해된 시스템에 민감한 데이터가 없다고 밝혔지만, 이후에 제출한 보고서에는 개인 데이터가 유출됐음을 밝혔다. 또한 최근에는 해당 공격으로 약 12만명이 영향을 받았으며 이름이나 다른 개인 식별 정보가 유출된 사실을 확인했다고 덧붙였다. 리시다 랜섬웨어 조직은 자신들이 공격했다고 주장하며, 피해 업체 직원의 운전면허증과 여권의 스크린샷이 포함된 약 225GB의 데이터를 다크웹 유출 사이트에 게시했다.
올해 8월 초에는 미국의 병원 베이헬스(Bayhealth)가 리시다 랜섬웨어 조직의 공격을 받은 정황이 발견됐다. 이 랜섬웨어 조직은 피해 업체에서 탈취한 데이터의 공개를 빌미로 7일 이내에 랜섬머니를 지불할 것을 요구했다. 또한 데이터가 공개된 이후에는 단 한 사람에게만 판매할 것이라고 언급했다. 이 외에도 자신들이 공격했다는 증거로 환자의 여권 사진과 사회보장카드 및 내부 문서의 스크린샷을 공개한 것이 확인됐다. 현재는 조직의 데이터 유출 사이트에서 피해 병원의 게시글이 삭제된 것으로 보인다. 한편, 피해 병원은 해당 공격 이후 외부 시스템 연결을 재설정했으며 현재는 정상으로 운영되고 있다고 밝혔다.
▲2024년 3분기 월별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]
올해 7월 1일부터 9월 30일 사이에 활동이 많았던 랜섬웨어의 구글 트렌드 검색어 조사 결과 록빗(LockBit) 랜섬웨어가 가장 많이 검색됐다. 특히 록빗 랜섬웨어의 검색량이 최고치를 달성한 7월 1주차에는 미국의 병원 페어필드 메모리얼 병원(Fairfield Memorial Hospital) 피해 사례가 있었다. 랜섬허브(RansomHub) 랜섬웨어가 가장 많은 검색량을 보여준 9월 1주차에는 미국의 의료 비영리단체 플랜트 페런트후드(Planned Parenthood) 피해 사례가 있었다. 마지막으로 리시다(Rhysida) 랜섬웨어의 검색량이 가장 많은 9월 3주차에는 미국의 시애틀 항만청 피해 사례가 있었다.
랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 43곳의 정보를 취합한 결과를 살펴봤다. 올해 3분기에 발생한 데이터 유출 현황을 월별로 비교했을 때 8월에 데이터 유출이 가장 많이 발생했다. 이어 7월과 9월의 순이었다.
▲2024년 3분기 국가별 데이터 유출 비율[자료=잉카인터넷 시큐리티대응센터]
올해 7월 1일부터 9월 30일 사이에 발생한 데이터 유출 건을 국가별로 비교해봤다. 전체를 100%로 봤을 때 가장 높은 비중을 차지한 국가는 미국으로 절반이 넘는 53%를 차지했다. 이어 캐나다가 7%, 영국이 5%, 이탈리아와 오스트레일리아가 각 3%, 브라질과 독일이 각 2%로 그 뒤를 따랐다.
▲2024년 3분기 산업별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]
같은 기간 발생한 데이터 유출 건을 산업별로 비교했을 때 제조·공급 분야가 가장 많은 공격을 받았으며, 이는 타 분야와 비교해 2배 이상의 수치였다. 그 뒤를 이어 기술·통신 분야, 건설·부동산 분야, 의료·제약 분야, 도소매업·전자상거래 분야, 정부·공공기관 분야가 그 뒤를 따랐다.
[김영명 기자(boan@boannews.com)]
록빗 랜섬웨어 : 미국 페어필드 메모리얼 병원, 캐나다 토론토 교육위원회 피해
랜섬허브 랜섬웨어 : 국내 식품기업 대상, 미국 석유·가스 서비스업
[보안뉴스 김영명 기자] 2024년 3분기에는 국내외에서 록빗(LockBit)과 랜섬허브(RansomHub) 등 중심의 랜섬웨어 공격으로 인한 피해가 다수 확인됐다. 전 세계에서 발생한 주요 사이버 공격을 살펴보면, 먼저 우리나라의 종합 식품기업 대상(DAESANG)의 미국법인이 랜섬허브의 공격을 받았다. 이어 8월에는 캐나다 토론토의 교육위원회가 록빗(LockBit)의 공격을, 9월에는 미국 시애틀의 항만청이 리시다(Rhysida) 랜섬웨어의 공격을 받았다.
[이미지=gettyimagesbank]
잉카인터넷 시큐리티대응센터는 최근 7월 1일부터 9월 30일까지 3개월의 전 세계 랜섬웨어 동향을 조사해 발표했다. 먼저 록빗 랜섬웨어 피해 사례를 살펴봤다. 록빗은 2019년 말에 처음 등장해 전 세계를 대상으로 약 2,500개 이상의 기관을 공격한 것으로 추정되는 랜섬웨어 조직이다. 올해 1분기에는 국제 법 집행 기관의 크로노스 작전(Operation Cronos)으로 인프라가 폐쇄됐으나 다른 사이트로 옮겨 활동을 재개해왔다. 3분기에는 조직의 관계자 두 명이 체포돼 미국 법원에서 록빗 랜섬웨어 공격에 여러 차례 가담한 사실을 인정한 소식이 전해졌다.
7월 초에는 ‘미국 병원 페어필드 메모리얼 병원(Fairfield Memorial Hospital)’이 록빗 랜섬웨어의 피해를 입었다. 록빗은 자신들이 운영하는 데이터 유출 사이트에 피해 병원의 게시글을 작성하면서, 7월 17일에 데이터를 공개할 것이라고 언급했다. 이에 대해 페어필드 메모리얼 병원은 7월초에 피해 소식을 홈페이지에 공지하며, 개인에게 미칠 영향의 범위를 파악하는 등의 조사를 진행 중이라고 전했다. 한편 록빗의 사이트에서는 여전히 피해 병원의 게시글을 확인할 수 있다.
록빗 랜섬웨어는 ‘캐나다 토론토 교육 위원회’에도 피해를 입혔다. 역시 사이트를 통해 캐나다 토론토의 교육 위원회에서 발생한 랜섬웨어 공격이 자신들이 일으켰다고 주장한 것. 피해 기관은 6월에 랜섬웨어 사고가 발생했음을 공지했으며, 피해 규모를 조사하고 있다고 전했다. 사고 발생 2개월 후, 2023학년도부터 등록된 학생의 이름과 생년월일 등 개인정보가 유출됐음을 추가로 공지했다. 한편, 록빗 랜섬웨어 조직은 데이터 유출 사이트에 피해 기관의 글을 게시하면서 탈취한 데이터의 공개를 빌미로 랜섬머니를 요구했다. 현재는 조직의 사이트에서 피해 기관의 데이터가 공개된 것으로 확인된다.
2024년 2월에 활동을 시작한 랜섬허브(RansomHub) 랜섬웨어 조직은 탈취한 데이터를 가장 높은 입찰자에게 판매하는 집단으로 알려졌다. 또한 암호화 도구를 분석한 결과 이전에 키클롭스(Cyclops)라고도 알려졌던 나이트(Knight) 랜섬웨어 조직의 암호화 도구를 기반으로 한다고 전해졌다. 이에 대해 보안 업체들은 나이트 랜섬웨어 조직이 올해 2월에 소스코드를 판매했으며, 랜섬허브 랜섬웨어 조직이 시작할 때 폐쇄된 것을 근거로 나이트의 리브랜딩이라고 추측하고 있다.
▲2024년 3분기 랜섬웨어 동향[자료=잉카인터넷 시큐리티대응센터]
올해 7월 초, 국내 종합 식품기업 대상(daesang)의 미국 법인이 랜섬허브 조직의 사이버 공격을 받아 데이터가 유출된 정황이 공개됐다. 보도에 따르면 이번 공격으로 대상은 매매계약서, 인보이스 및 상호기밀 계약서 등의 자료가 유출된 것으로 알려졌다. 이에 대해 대상은 랜섬웨어 감염이 아닌 일부 업무 파일이 부적절하게 유출된 것으로 확인됐다며, 사건 조사 결과를 전했다. 한편 랜섬허브 랜섬웨어 조직 측은 자신들이 피해 업체를 공격해 정보를 탈취했다고 주장하며 직접 운영하는 사이트에 약 100GB에 달하는 데이터 모두를 게시했다.
미국의 석유 및 가스 서비스 기업 할리버튼(Halliburton)이 랜섬허브 랜섬웨어 공격으로 IT 시스템과 사업 운영이 중단됐음을 밝혔다. 이로 인해 고객 송장 및 구매 주문서를 생성할 수 없었지만, 공격에 대해 자세한 내용을 공개하지 않아 고객들이 불만을 토로했다고 알려졌다. 공격 발생 이후 며칠 동안, 일부 SNS 사용자가 랜섬노트의 일부를 게시하면서 피해 업체가 랜섬허브 랜섬웨어 조직의 공격을 받았다고 주장했다. 그 이후 외신에서 공격이 사용된 샘플 파일을 분석한 결과 랜섬허브 랜섬웨어 암호화 도구로 보이는 실행 파일이 포함된 것을 확인했다고 언급했다. 또 이전에 알려진 버전과 다른 새로운 명령어가 추가된 것을 근거로 새로운 버전으로 확인된다고 덧붙였다.
2024년 3분기에는 리시다(Rhysida) 랜섬웨어 조직이 대규모 조직을 표적으로 삼는 사례가 다수 발생했다. 최근에는 교육, 제조 등 다양한 분야에서 활발한 공격 활동을 보였다. 특히 미국 보건복지부(HHS)의 보안 공지에 따르면 최근 의료기관을 표적으로 한 공격으로 미국 전역의 17개 병원과 166개 진료소에 영향을 미쳤다고 보고했다.
7월 초, 리시다 랜섬웨어 조직이 운영하는 데이터 유출 사이트에서 캐나다의 마케팅 대행업체 MYC Media의 글이 발견됐다. 해당 게시글에는 공격에 대한 자세한 내용을 공유하지는 않았지만 피해 업체에 7일 이내로 랜섬머니를 요구한 것이 확인됐다. 하지만 외신은 MYC Media의 공식 웹사이트는 정상적으로 운영되고 있으며, 피해 업체의 임원에게 연락했으나 검증할 수 없었다고 밝혔다. 한편 현재는 해당 게시글에서 2.7TB에 달하는 전체 데이터가 공개된 것으로 보인다.
미국의 요트 소매업체 마린맥스(MarineMax)에서 올해 3월에 있었던 사이버 보안 사고의 조사가 최근에 마무리됐다고 보고했다. 3월 중순, 피해 업체가 SEC에 제출한 서류에는 침해된 시스템에 민감한 데이터가 없다고 밝혔지만, 이후에 제출한 보고서에는 개인 데이터가 유출됐음을 밝혔다. 또한 최근에는 해당 공격으로 약 12만명이 영향을 받았으며 이름이나 다른 개인 식별 정보가 유출된 사실을 확인했다고 덧붙였다. 리시다 랜섬웨어 조직은 자신들이 공격했다고 주장하며, 피해 업체 직원의 운전면허증과 여권의 스크린샷이 포함된 약 225GB의 데이터를 다크웹 유출 사이트에 게시했다.
올해 8월 초에는 미국의 병원 베이헬스(Bayhealth)가 리시다 랜섬웨어 조직의 공격을 받은 정황이 발견됐다. 이 랜섬웨어 조직은 피해 업체에서 탈취한 데이터의 공개를 빌미로 7일 이내에 랜섬머니를 지불할 것을 요구했다. 또한 데이터가 공개된 이후에는 단 한 사람에게만 판매할 것이라고 언급했다. 이 외에도 자신들이 공격했다는 증거로 환자의 여권 사진과 사회보장카드 및 내부 문서의 스크린샷을 공개한 것이 확인됐다. 현재는 조직의 데이터 유출 사이트에서 피해 병원의 게시글이 삭제된 것으로 보인다. 한편, 피해 병원은 해당 공격 이후 외부 시스템 연결을 재설정했으며 현재는 정상으로 운영되고 있다고 밝혔다.
▲2024년 3분기 월별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]
올해 7월 1일부터 9월 30일 사이에 활동이 많았던 랜섬웨어의 구글 트렌드 검색어 조사 결과 록빗(LockBit) 랜섬웨어가 가장 많이 검색됐다. 특히 록빗 랜섬웨어의 검색량이 최고치를 달성한 7월 1주차에는 미국의 병원 페어필드 메모리얼 병원(Fairfield Memorial Hospital) 피해 사례가 있었다. 랜섬허브(RansomHub) 랜섬웨어가 가장 많은 검색량을 보여준 9월 1주차에는 미국의 의료 비영리단체 플랜트 페런트후드(Planned Parenthood) 피해 사례가 있었다. 마지막으로 리시다(Rhysida) 랜섬웨어의 검색량이 가장 많은 9월 3주차에는 미국의 시애틀 항만청 피해 사례가 있었다.
랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 43곳의 정보를 취합한 결과를 살펴봤다. 올해 3분기에 발생한 데이터 유출 현황을 월별로 비교했을 때 8월에 데이터 유출이 가장 많이 발생했다. 이어 7월과 9월의 순이었다.
▲2024년 3분기 국가별 데이터 유출 비율[자료=잉카인터넷 시큐리티대응센터]
올해 7월 1일부터 9월 30일 사이에 발생한 데이터 유출 건을 국가별로 비교해봤다. 전체를 100%로 봤을 때 가장 높은 비중을 차지한 국가는 미국으로 절반이 넘는 53%를 차지했다. 이어 캐나다가 7%, 영국이 5%, 이탈리아와 오스트레일리아가 각 3%, 브라질과 독일이 각 2%로 그 뒤를 따랐다.
▲2024년 3분기 산업별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]
같은 기간 발생한 데이터 유출 건을 산업별로 비교했을 때 제조·공급 분야가 가장 많은 공격을 받았으며, 이는 타 분야와 비교해 2배 이상의 수치였다. 그 뒤를 이어 기술·통신 분야, 건설·부동산 분야, 의료·제약 분야, 도소매업·전자상거래 분야, 정부·공공기관 분야가 그 뒤를 따랐다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
