보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

2024년 1월, 가장 많은 데이터를 유출한 랜섬웨어 공격그룹은?

입력 : 2024-02-12 23:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
록빗 62건으로 1위...에잇베이스 랜섬웨어 28건, 아키라 랜섬웨어 26건 순
잉카인터넷 시큐리티대응센터, 2024년 1월 랜섬웨어 동향 보고서 발표


[보안뉴스 김영명 기자] 올해 1월 한달 동안 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교했을 때 ‘록빗(LockBit)’ 랜섬웨어가 62건으로 가장 많은 데이터 유출이 있었다. 뒤이어 ‘에잇베이스(8Base)’ 랜섬웨어가 28건, ‘아키라(Akira)’ 랜섬웨어가 26건의 유출 사례를 기록했다.

[이미지=gettyimagesbank]


잉카인터넷 시큐리티대응센터는 2024년 1월의 랜섬웨어 발생 현황을 분석한 보고서를 발표했다. 이번 자료는 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 29곳의 정보를 취합한 결과다.

랜섬웨어 조직별로 살펴봤을 때 록빗과 에잇베이스, 아키라 랜섬웨어에 이어 블랙바스타(BlackBasta) 랜섬웨어 17건, 비안리안(BianLian) 랜섬웨어 17건, 메두사(Medusa) 랜섬웨어 11건, 킬린(Qilin) 랜섬웨어 9건, 잉크(Inc) 랜섬웨어 9건, 플레이(Play) 랜섬웨어 5건, 블랙수트(BlackSuit) 랜섬웨어 4건 등이다.

▲지난달 진단명별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]


1월에 발생한 데이터 유출 건을 국가별로 비교해 보면 미국이 53%로 가장 높은 비중을 차지했다. 그 뒤를 이어 프랑스 6%, 영국 6%, 캐나다 4%, 이탈리아 3%, 스웨덴 3%이었으며, 그 외의 국가가 24%의 비중을 차지했다.

▲지난달 국가별 데이터 유출 비율[자료=잉카인터넷 시큐리티대응센터]


1월에 발생한 데이터 유출 건을 산업별로 비교해 보면, 지난 달에 이어 이번 달에도 제조·공급 분야가 가장 많은 공격을 받았으며, 건설·부동산, 교육 서비스, 금융 서비스, 유통·무역·운송, 기술·통신, 의료·제약, 도소매업·전자상거래, 법률, 정부·공공기관 등의 순으로 피해가 발생했다.

▲지난달 산업별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]


국내외 주요 랜섬웨어 피해사례 살펴보니
1월 한 달간 랜섬웨어 동향을 조사한 결과, 아일랜드의 산업기계 제조업체 존슨 컨트롤스(Jahnson Controls)가 다크앤젤(DarkAngels) 랜섬웨어 공격을 받은 이후의 정황을 공개했다. 미국의 병원 캐피탈 헬스(Capital Health)가 록빗 랜섬웨어의 공격을, 핀란드의 정보통신 기업 띠에토에브리(Tietoevry)가 아키라 랜섬웨어 공격을 받아 운영이 중단된 정황이 알려졌다. 이어 미국의 부동산 서비스 제공 업체 FNF가 블랙캣 랜섬웨어, 영국의 수자원 관리 업체 서던워터(Southern Water)는 블랙바스타 랜섬웨어의 공격으로 데이터가 유출된 정황이 발견됐다.

미국 뉴저지 전역의 캐피탈 헬스(Capital Health) 병원과 진료소에서 운영 시스템이 중단되기도 했다. 피해 병원은 환자 치료를 안전하게 제공하기 위해 수술 일정을 일부 변경했지만 응급 치료는 지속해서 제공 가능하다고 언급했다. 록빗 측은 자신들이 공격했다고 주장하며 운영하는 데이터 유출 사이트에 랜섬머니를 요구하는 게시글을 작성했다. 또한 환자의 치료를 방해하지 않기 위해 의도적으로 파일은 암호화하지 않고 7TB의 데이터를 탈취만 했다고 주장했다. 현재는 록빗의 데이터 유출 사이트에 피해 병원의 데이터가 모두 공개됐다.

미국의 부동산 서비스 제공 업체인 FNF(Fidelity National Financial)에서 사이버 공격을 받아 데이터가 유출됐다고 발표했다. 피해 업체는 공격차가 탈취한 자격 증명으로 네트워크를 공격해 시스템 연결이 끊어졌으며 이로 인해 서비스 제공이 중단됐다고 언급했다. 이번 공격으로 무려 130만명이 넘는 고객의 데이터가 유출됐으며 피해가 있는 개인에게 이를 통보하고 신원 도용 복원 서비스를 제공했다고 밝혔다. 블랙캣 측은 자신들이 공격했다고 주장하며 데이터 유출 사이트에 피해 업체의 이름을 등록했다.

1월 중순, 핀란드의 정보 통신 업체 띠에토에브리(Tietoevry)에서 랜섬웨어 공격으로 운영이 중단되는 상황이 발생했다. 피해 업체는 스웨덴에 있는 데이터센터 중 한 곳이 아키라 랜섬웨어의 공격을 받았다고 공지했다. 또한 공격받은 시스템의 운영을 중단하는 과정에서 고객 서비스까지 피해가 발생했다고 전했다. 현재 피해 업체 측은 시스템 복구에 최대 몇 주의 시간이 걸릴 예정이라고 전한 이후로 복구 완료 소식은 아직 전해지지 않고 있다. 외신은 공격받은 데이터센터에서 스웨덴에 있는 고객에게 클라우드 호스팅 서비스를 제공했다고 보도했다.

영국의 수자원 관리 업체 서던워터(Southern Water)가 사이버 공격으로 데이터가 유출된 정황이 발견됐다. 블랙바스타 측은 자신들이 피해 업체를 공격해 750GB에 달하는 데이터를 탈취했다고 주장했다. 그 근거로 직접 운영하는 데이터 유출 사이트에 여권과 운전면허증 등의 신분증 스캔본을 샘플로 공개했다. 이에 대해 피해 업체 측은 시스템에서 의심스러운 활동을 감지해 조사 중이지만 고객 정보나 금융 시스템이 영향을 받은 증거는 없다고 밝혔다. 한편 블랙바스타 측의 데이터 유출 사이트에서 피해 업체 관련 게시글은 현재 내려간 것으로 학인된다.

1월 말, 아일랜드의 산업기계 제조업체 존슨 컨트롤스(Jahnson Controls)가 랜섬웨어 공격을 받은 이후의 정황을 공개했다. 피해 업체는 미국 증권거래위원회에 제출한 분기별 보고서에서 지난해 9월에 발생한 랜섬웨어 사건을 언급했다. 사건 당시에 공격의 영향으로 운영을 중단한 시스템은 그 이후로도 3개월간 상태가 지속됐으며 현재는 복원됐다고 전했다. 또한 지난해 말까지 피해 수습에 사용된 비용은 약 2,700만 달러이며 여전히 대응 중인 부분이 있어 비용은 더 증가할 것으로 예상한다고 밝혔다. 한편 외신은 공격을 감행한 다크앤젤이 피해 업체에 데이터 삭제와 암호 해독기 제공을 빌미로 5,100만 달러를 요구했다고 보도했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)