Home > 전체기사

2024년 5월, 랜섬웨어 공격 동향... ‘록빗’의 독보적인 존재감 위시

입력 : 2024-06-11 10:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
록빗 랜섬웨어 154건, 플레이 및 INC 랜섬 각 31건 유출 사례 기록
미국 조지아 공과대는 지난해에 클롭 랜섬웨어 공격 밝혀지는 등 각종 사고 잇따라
잉카인터넷 시큐리티대응센터, 5월 랜섬웨어 동향 보고서 발표


[보안뉴스 김영명 기자] 5월 한달간 데이터 유출 사이트 38곳의 정보를 취합해 분석한 결과 ‘록빗(LockBit)’ 랜섬웨어가 154건으로 가장 많은 데이터를 유출했다. 또한 ‘플레이(Play)’ 랜섬웨어와 ‘아이엔씨 랜섬(INC Ransom)’ 랜섬웨어가 31건의 유출 사례를 기록했다.

[이미지=gettyimagesbank]


잉카인터넷 시큐리티대응센터가 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트를 분석, 올해 5월 1일부터 31일까지 한달간 발생한 데이터 유출 현황을 랜섬웨어 진단명 별로 비교했다.

▲2024년 5월 진단명별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]


5월 한달 동안 발생한 데이터 유출 건수를 국가별로 비교했을 때 미국이 전체의 46%로 가장 높은 비중을 차지했다. 그 다음으로 영국이 8%, 캐나다가 5%, 스페인과 프랑스, 이탈리아가 각각 4%의 비중을 차지했다.

▲2024년 5월 국가별 데이터 유출 비율[자료=잉카인터넷 시큐리티대응센터]


같은 기간 데이터 유출 사고를 산업별로 비교했을 때는 제조·공급 분야가 120건에 달할 정도로 가장 많은 공격을 받았다. 이어 건설·부동산 분야와 도소매업·전자상거래 분야가 40건이 조금 웃도는 수치를 보였으며, 의료·제약과 기술·통신, 유통·무역·운송, 금융 서비스, 교육 서비스 등의 순으로 유출이 이뤄졌다.

▲2024년 5월 산업별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]


5월 한 달간 랜섬웨어 동향을 조사한 결과 ‘블랙바스타(BlackBasta) 랜섬웨어가 미국의 연료 유통업체 아틀라스 오일(Atalas Oil)을 공격한 정황이 포착됐다. 또한 영국의 방위업체 켐링 그룹(Chemring Group)과 캐나다의 약국 런던 드럭스(London Drugs)에서 각각 메두사(Medusa)와 록빗(LockBit) 랜섬웨어의 공격을 받은 것으로 전해졌다. 또한 미국의 조지아 공과대와 미국의 병원 싱잉 리버 헬스 시스템(Singing River Health system)에서 각각 클롭(Clop) 랜섬웨어와 라이시다(Rhysida) 랜섬웨어의 공격으로 데이터가 유출된 것으로 알려졌다.

5월 초에는 미국의 조지아 공과대에서 지난해에 클롭(Clop) 랜섬웨어 공격을 받아 데이터가 유출된 것으로 드러났다. 해당 공격은 당시 피해 학교에서 사용하던 무브잇 트랜스퍼(MOVEit Transfer)의 취약점을 이용한 것으로 분석됐다. 이로 인해 사회보장번호와 은행 계좌번호 등을 포함해 약 80만명의 개인정보가 유출됐다. 또한 클롭 랜섬웨어 공격 조직은 자신들이 운영하는 토렌트 사이트에 피해 학교에서 탈취한 데이터 전체를 공개했다.

영국 방위업체 켐링 그룹(Chemring Group)메두사(Medusa) 랜섬웨어 공격을 받은 정황이 포착됐다. 공격 조직은 피해 업체에서 기밀문서와 데이터베이스를 포함해 약 187GB의 데이터를 탈취했다고 주장했다. 이에 대한 근거로 문서 파일과 설계 파일 일부의 이미지를 공개했다. 또한 피해업체에게 탈취한 데이터를 빌미로 5월 16일까지 350만 달러(한화 약 48억 1,425만원)를 요구한 것으로 알려졌다. 현재는 메두사 조직이 운영하는 데이터 유출 사이트에 피해 업체의 전체 데이터가 공개되어 있다.

미국 병원 싱잉 리버 헬스 시스템(Singing River Health system)라이시다(Rhysida) 랜섬웨어 공격으로 데이터가 유출됐다고 공지했다. 피해 병원은 지난해 8월 발생한 보안 사고에서 약 90만명의 개인정보가 유출됐을 가능성이 있다고 전했다. 유출된 개인정보는 환자 이름과 사회보장번호 및 의료정보 등이 포함된 것으로 추정 했으며, 개인정보를 오용한 징후는 없다고 밝혔다. 한편 라이시다 공격 조직은 자신들이 운영하는 데이터 유출 사이트에 피해 병원의 게시글을 등록했다. 해당 게시글에는 내부 문서와 여권 사진 등 샘플 파일이 공개됐으며, 현재는 80% 정도의 데이터가 유출된 것으로 확인되고 있다.

블랙바스타(BlackBasta) 랜섬웨어 조직이 미국의 연료 유통업체인 아틀라스 오일(Atlas Oil)을 공격한 정황이 포착됐다. 해당 조직은 직접 운영하는 데이터 유출 사이트에 피해 업체의 글을 게시하며 공격 사실을 주장했다. 또한 피해 업체의 직원 정보와 내부 자료를 포함해 약 730GB에 달하는 데이터를 탈취했다며 샘플 문서를 공개했다. 피해를 입은 아틀라스 오일 측은 해당 랜섬웨어 공격으로 이름과 이메일 주소 등의 개인정보가 유출됐을 가능성이 있다고 밝혔다. 현재는 최대한의 조치 후 사이버 보안 전문가의 지원을 받아 사건 조사를 진행 중이라고 덧붙였다.

캐나다의 약국 런던 드럭스(London Drugs)에서 사이버 공격을 받은 정황이 포착됐다. 피해 약국은 이번 공격으로 캐나다 서부 지역의 모든 소매점을 폐쇄했다고 밝혔다. 또한 외신에 공유한 성명에서는 공격자가 탈취한 본사 파일에 직원 정보가 포함돼 있을 수 있다고 언급했다. 이에 대해 록빗(LockBit) 공격 조직은 자신들이 공격했다며 피해 약국과 협상을 시도했으나 실패했다고 주장했다. 현재 해당 조직의 데이터 유출 사이트에는 피해 약국에서 탈취한 데이터 전체가 공개되어 있다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)