잉카인터넷 시큐리티대응센터, 2024년 2분기 랜섬웨어 동향 보고서 발표
블랙바스타 : 미국 비영리 의료기관, 영국 법률사무소 랜섬웨어 공격으로 데이터 탈취
블랙수트 : 미국 자동차 판매 플랫폼 제공업체, 일반 미디어 출판업체 공격 후 랜섬머니 요구
[보안뉴스 김영명 기자] 올해 2분기에 활동했던 랜섬웨어 동향을 조사했을 때 국내외에서 블랙바스타(BlackBasta)와 블랙수트(BlackSuit) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 4월 1일~6월 30일 사이에 활동한 주요 랜섬웨어의 활동을 요약했을 때 4월에는 영국의 법률사무소 트루 솔리시터스 LLP(TRUE Solicitors LLP)가 블랙바스타 랜섬웨어의 공격을 받았고, 5월과 6월에는 미국의 연료 유통업체 아틀라스 오일(Atlas Oil)과 일본의 미디어 출판업체 카도카와(KADOKAWA)가 각각 블랙바스타와 블랙수트 랜섬웨어 공격을 받아 피해가 발생했다.
잉카인터넷 시큐리티대응센터가 최근 2분기 전 세계 랜섬웨어 동향 보고서를 발표했다. 먼저 블랙바스타(BlackBasta) 랜섬웨어 그룹이 의료 분야를 공격하고 있다는 소식이 전해졌다. 외신은 최근에 블랙바스타 랜섬웨어 그룹이 16개의 중요 인프라 부문 중 12개 부분에서 데이터를 암호화했다고 언급했으며, 의료 및 공중보건(HPH) 부문이 포함된다고 전했다.
미국의 비영리 의료기관 어센션(Ascension)에서 랜섬웨어 공격으로 내부 시스템 운영이 중단된 정황이 발견됐다. 이번 공격으로 전자 건강기록 시스템과 전화 및 약품 주문에 사용되는 시스템 등이 영향을 받았다고 전해졌다. 피해 기관 직원들은 환자 기록을 확인할 수가 없어 의료 절차와 약품을 종이에 기록한 것으로 알려졌다. 외신은 이번 공격으로 개인의 건강정보와 식별정보를 포함한 개인정보가 유출됐을 수 있다고 보도했다. 또한, 최근 의료분야를 공격하고 있는 블랙바스타가 이번 공격의 배후일 것이라고 언급했다.
블랙바스타 랜섬웨어 조직이 운영하는 데이터 유출 사이트에서 영국의 법률사무소 트루 솔리시터스 LLP의 글이 발견됐다. 해당 게시글에서는 사무소 내부문서 외에도 고객정보 등의 민감 정보 312GB를 탈취했다고 언급했으며 현재는 데이터 전체가 공개된 것으로 확인된다. 외신은 이번 공격이 피해 사무소 하나뿐만 아니라 파트너에게까지 광범위한 영향을 미칠 수 있다고 보도했다.
다음으로 2분기에 발생한 블랙수트(BlackSuit) 랜섬웨어의 피해 사례를 살펴본다. 블랙수트는 지난해 5월부터 활동을 시작했으며, 로얄(Royal) 랜섬웨어의 리브랜딩으로 추정된다고 알려졌다.
미국의 자동차 판매 플랫폼 제공업체 CDK 글로벌(CDK Global)에서 사이버 공격을 받아 시스템 운영이 중단된 정황이 알려졌다. 사건 당시에 피해 업체는 공격의 영향으로 IT 시스템과 데이터센터를 폐쇄했다고 전했다. 그 이후에 시스템을 복구하는 과정에서 2차 공격이 발생해 다시 한번 모든 시스템을 종료하는 일까지 발생했다. 한편 외신은 해당 공격의 배후로 블랙수트 조직을 언급하면서 피해 업체가 조직과 협상 중인 것으로 예상된다고 보도했다.
일본의 미디어 출판업체 카도카와(KADOKAWA)에서 랜섬웨어 공격으로 서비스 운영이 중단된 사실을 밝혔다. 외신은 공격 당시에 본사와 자회사가 동일한 데이터센터를 사용해 대부분의 서비스 운영에 영향을 미쳤다고 전했다. 또한, 시스템 복구를 진행하고 있으나 여전히 피해 업체의 자회사에서 운영하는 서비스는 중단된 상태라고 덧붙였다. 한편, 블랙수트 랜섬웨어 조직은 일부 샘플과 함께 자신들이 피해 업체를 공격했다고 주장하는 글을 게시했다. 해당 글에는 랜섬머니를 내지 않으면 7월 1일에 데이터를 공개한다고 언급했으며, 현재 데이터 일부가 공개된 것으로 확인된다.
그밖에 다양한 랜섬웨어 피해 사례 살펴보면
올해 2분기에는 ‘리시다(Rhysida)’와 ‘에베레스트(Everest)’ 등 다양한 랜섬웨어의 피해 사례가 발생했다. 먼저 4월초에는 미국의 요트 소매업체 마린맥스(MarineMax)에서 사이버 보안 사고가 발생한 사실이 전해졌다. 피해 기업은 올해 3월에 발생한 사고로 일부 사업이 중단됐었지만 당시에 운영에는 큰 영향을 미치지 않는다고 언급했다. 그 이후에 진행된 조사에서는 사업 관련 정보 외에도 고객과 직원의 개인정보가 유출된 사실을 확인했다고 덧붙였다. 한편 리시다 해킹그룹은 자신들이 피해 업체를 공격해 탈취한 데이터의 공개를 빌미로 랜섬머니를 요구한 것으로 알려졌다. 현재는 조직의 데이터 유출 사이트에 피해 업체 관련 게시글을 찾을 수 있으며 전체 225GB 중 70%가 공개된 것으로 확인된다.
에베레스트 해킹그룹에서 캐나다의 유리 및 알루미늄 제조업체 레 미루아 생 앙투안(Les Miroirs St-Antoine)을 공격했다고 주장했다. 사건 당시에 해당 조직은 피해 업체에서 탈취한 데이터의 공개를 빌미로 24시간 이내에 연락할 것을 요구한 것으로 알려졌다. 약 2개월이 지난 현재는 에베레스트 조직이 운영하는 데이터 유출 사이트에서 피해 업체의 데이터 전체가 공개된 것이 확인된다. 이에 대해 외신은 피해 업체의 홈페이지가 정상 운영 중이며, 눈에 띄는 피해 징후가 보이지 않는다고 전했다.
영국의 경매 업체 크리스티(Christie′s)에서 랜섬웨어 공격의 영향으로 데이터가 유출된 정황이 발견됐다. 피해 업체에서는 공격을 확인한 즉시 서비스 운영을 중단하고 피해가 확산되지 않도록 대처한 것으로 알려졌다. 그 이후에 진행된 조사에서 공격자가 일부 고객의 개인정보에 접근한 사실이 전해졌다. 한편 랜섬허브(RansomHub) 조직은 자신들이 피해 업체를 공격해 최소 50만명의 데이터를 탈취했다는 글을 데이터 유출 사이트에 게시했다. 현재는 피해 업체가 협상 도중 연락이 끊겨 데이터를 경매로 등록했으며 판매가 완료된 것으로 확인된다.
5월 말에는 아키라(Akira) 해킹그룹의 데이터 유출 사이트에서 미국의 목공업체 웨스턴 도브테일(Western Dovetail)의 글이 발견됐다. 이 해킹그룹은 피해 업체를 공격해 직원의 개인정보와 의료정보 등을 탈취했다고 언급했다. 이와 관련해 외신에서는 게시글을 발견됐지만 피해 업체를 공격한 동기는 알려지지 않는다고 전했다. 또한 피해 업체의 홈페이지는 정상적으로 운영 중이며 어떠한 범죄의 징후도 발견되지 않았다고 덧붙였다.
미국의 건설업체 젬코 컨스트럭터스(GEMCO Constructors)를 공격했다고 주장하는 랜섬웨어 그룹이 등장했다. 해당 그룹은 메두사(Medusa)로 밝혀졌으며, 피해 업체에서 총 1TB에 달하는 데이터를 탈취했다는 글을 게시한 것으로 알려졌다. 또한, 6~7일 이내에 탈취한 데이터를 공개하겠다는 빌미로 피해 업체에 90만 달러(한화 약 12억 4,245만원)를 요구한 소식이 전해졌다. 해당 게시글에서는 내부 문서와 도면 등의 샘플 파일이 확인되며 현재 전체 데이터가 공개된 것으로 보인다.
올해 4월부터 6월 사이에 활동이 많았던 랜섬웨어의 구글 트렌드 검색어를 조사한 결과 헌터스 인터내셔널(Hunters International) 랜섬웨어가 가장 많이 검색됐다. 특히 헌터스 인터내셜 랜섬웨어의 검색량이 최고치를 달성한 4월 1주차에는 일본 광학기기 제조업체 호야(Hoya)의 피해 사례가 있었다. 메두사(Medusa) 랜섬웨어가 가장 많은 검색량을 보여준 5월 4주차에는 캐나다 통신 업체 컴웨이브 네트웍스(Comwave Networks)의 피해 사례가 있었다. 마지막으로 아키라(Akira) 랜섬웨어의 검색량이 가장 많은 6월 1주차에는 오스트레일리아의 전자 기기 제조업체 파나소닉 오스트레일리아(Panasonic Australia) 피해 사례가 있었다.
다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 38곳의 정보를 취합한 결과다. 2024년 2분기에 발생한 데이터 유출 현황을 월별로 비교했을 때 5월에 데이터 유출이 가장 많이 발생했다.
같은 기간에 발생한 데이터 유출 건을 국가별로 비교했을 때 미국이 50%로 가장 높은 비중을 차지했다. 뒤이어 영국이 6%, 캐나다가 5%, 이탈리아와 스페인이 각 4%, 프랑스 3% 순으로 나타났다.
2024년 2분기에 발생한 데이터 유출 건을 산업별로 비교했을 때 제조·공급 분야가 가장 많은 공격을 받았으며, 건설·부동산 분야가 그 다음으로 많은 공격을 받았다. 뒤이어 의료·제약 분야, 기술·통신 분야, 도소매업·전자상거래, 유통·무역·운송, 금융 서비스, 법률, 교육 서비스, 정부·공공기관 등의 순으로 데이터 유출이 발생한 것으로 조사됐다.
[김영명 기자(boan@boannews.com)]
블랙바스타 : 미국 비영리 의료기관, 영국 법률사무소 랜섬웨어 공격으로 데이터 탈취
블랙수트 : 미국 자동차 판매 플랫폼 제공업체, 일반 미디어 출판업체 공격 후 랜섬머니 요구
[보안뉴스 김영명 기자] 올해 2분기에 활동했던 랜섬웨어 동향을 조사했을 때 국내외에서 블랙바스타(BlackBasta)와 블랙수트(BlackSuit) 등의 랜섬웨어로 인한 피해가 다수 발견됐다. 4월 1일~6월 30일 사이에 활동한 주요 랜섬웨어의 활동을 요약했을 때 4월에는 영국의 법률사무소 트루 솔리시터스 LLP(TRUE Solicitors LLP)가 블랙바스타 랜섬웨어의 공격을 받았고, 5월과 6월에는 미국의 연료 유통업체 아틀라스 오일(Atlas Oil)과 일본의 미디어 출판업체 카도카와(KADOKAWA)가 각각 블랙바스타와 블랙수트 랜섬웨어 공격을 받아 피해가 발생했다.
[이미지=gettyimagesbank]
잉카인터넷 시큐리티대응센터가 최근 2분기 전 세계 랜섬웨어 동향 보고서를 발표했다. 먼저 블랙바스타(BlackBasta) 랜섬웨어 그룹이 의료 분야를 공격하고 있다는 소식이 전해졌다. 외신은 최근에 블랙바스타 랜섬웨어 그룹이 16개의 중요 인프라 부문 중 12개 부분에서 데이터를 암호화했다고 언급했으며, 의료 및 공중보건(HPH) 부문이 포함된다고 전했다.
▲2024년 2분기 랜섬웨어 동향[자료=잉카인터넷 시큐리티대응센터]
미국의 비영리 의료기관 어센션(Ascension)에서 랜섬웨어 공격으로 내부 시스템 운영이 중단된 정황이 발견됐다. 이번 공격으로 전자 건강기록 시스템과 전화 및 약품 주문에 사용되는 시스템 등이 영향을 받았다고 전해졌다. 피해 기관 직원들은 환자 기록을 확인할 수가 없어 의료 절차와 약품을 종이에 기록한 것으로 알려졌다. 외신은 이번 공격으로 개인의 건강정보와 식별정보를 포함한 개인정보가 유출됐을 수 있다고 보도했다. 또한, 최근 의료분야를 공격하고 있는 블랙바스타가 이번 공격의 배후일 것이라고 언급했다.
블랙바스타 랜섬웨어 조직이 운영하는 데이터 유출 사이트에서 영국의 법률사무소 트루 솔리시터스 LLP의 글이 발견됐다. 해당 게시글에서는 사무소 내부문서 외에도 고객정보 등의 민감 정보 312GB를 탈취했다고 언급했으며 현재는 데이터 전체가 공개된 것으로 확인된다. 외신은 이번 공격이 피해 사무소 하나뿐만 아니라 파트너에게까지 광범위한 영향을 미칠 수 있다고 보도했다.
▲2024년 2분기 블랙바스타 랜섬웨어 피해 사례[자료=잉카인터넷 시큐리티대응센터]
다음으로 2분기에 발생한 블랙수트(BlackSuit) 랜섬웨어의 피해 사례를 살펴본다. 블랙수트는 지난해 5월부터 활동을 시작했으며, 로얄(Royal) 랜섬웨어의 리브랜딩으로 추정된다고 알려졌다.
미국의 자동차 판매 플랫폼 제공업체 CDK 글로벌(CDK Global)에서 사이버 공격을 받아 시스템 운영이 중단된 정황이 알려졌다. 사건 당시에 피해 업체는 공격의 영향으로 IT 시스템과 데이터센터를 폐쇄했다고 전했다. 그 이후에 시스템을 복구하는 과정에서 2차 공격이 발생해 다시 한번 모든 시스템을 종료하는 일까지 발생했다. 한편 외신은 해당 공격의 배후로 블랙수트 조직을 언급하면서 피해 업체가 조직과 협상 중인 것으로 예상된다고 보도했다.
일본의 미디어 출판업체 카도카와(KADOKAWA)에서 랜섬웨어 공격으로 서비스 운영이 중단된 사실을 밝혔다. 외신은 공격 당시에 본사와 자회사가 동일한 데이터센터를 사용해 대부분의 서비스 운영에 영향을 미쳤다고 전했다. 또한, 시스템 복구를 진행하고 있으나 여전히 피해 업체의 자회사에서 운영하는 서비스는 중단된 상태라고 덧붙였다. 한편, 블랙수트 랜섬웨어 조직은 일부 샘플과 함께 자신들이 피해 업체를 공격했다고 주장하는 글을 게시했다. 해당 글에는 랜섬머니를 내지 않으면 7월 1일에 데이터를 공개한다고 언급했으며, 현재 데이터 일부가 공개된 것으로 확인된다.
▲2024년 2분기 블랙수트 랜섬웨어 피해 사례[자료=잉카인터넷 시큐리티대응센터]
그밖에 다양한 랜섬웨어 피해 사례 살펴보면
올해 2분기에는 ‘리시다(Rhysida)’와 ‘에베레스트(Everest)’ 등 다양한 랜섬웨어의 피해 사례가 발생했다. 먼저 4월초에는 미국의 요트 소매업체 마린맥스(MarineMax)에서 사이버 보안 사고가 발생한 사실이 전해졌다. 피해 기업은 올해 3월에 발생한 사고로 일부 사업이 중단됐었지만 당시에 운영에는 큰 영향을 미치지 않는다고 언급했다. 그 이후에 진행된 조사에서는 사업 관련 정보 외에도 고객과 직원의 개인정보가 유출된 사실을 확인했다고 덧붙였다. 한편 리시다 해킹그룹은 자신들이 피해 업체를 공격해 탈취한 데이터의 공개를 빌미로 랜섬머니를 요구한 것으로 알려졌다. 현재는 조직의 데이터 유출 사이트에 피해 업체 관련 게시글을 찾을 수 있으며 전체 225GB 중 70%가 공개된 것으로 확인된다.
에베레스트 해킹그룹에서 캐나다의 유리 및 알루미늄 제조업체 레 미루아 생 앙투안(Les Miroirs St-Antoine)을 공격했다고 주장했다. 사건 당시에 해당 조직은 피해 업체에서 탈취한 데이터의 공개를 빌미로 24시간 이내에 연락할 것을 요구한 것으로 알려졌다. 약 2개월이 지난 현재는 에베레스트 조직이 운영하는 데이터 유출 사이트에서 피해 업체의 데이터 전체가 공개된 것이 확인된다. 이에 대해 외신은 피해 업체의 홈페이지가 정상 운영 중이며, 눈에 띄는 피해 징후가 보이지 않는다고 전했다.
영국의 경매 업체 크리스티(Christie′s)에서 랜섬웨어 공격의 영향으로 데이터가 유출된 정황이 발견됐다. 피해 업체에서는 공격을 확인한 즉시 서비스 운영을 중단하고 피해가 확산되지 않도록 대처한 것으로 알려졌다. 그 이후에 진행된 조사에서 공격자가 일부 고객의 개인정보에 접근한 사실이 전해졌다. 한편 랜섬허브(RansomHub) 조직은 자신들이 피해 업체를 공격해 최소 50만명의 데이터를 탈취했다는 글을 데이터 유출 사이트에 게시했다. 현재는 피해 업체가 협상 도중 연락이 끊겨 데이터를 경매로 등록했으며 판매가 완료된 것으로 확인된다.
5월 말에는 아키라(Akira) 해킹그룹의 데이터 유출 사이트에서 미국의 목공업체 웨스턴 도브테일(Western Dovetail)의 글이 발견됐다. 이 해킹그룹은 피해 업체를 공격해 직원의 개인정보와 의료정보 등을 탈취했다고 언급했다. 이와 관련해 외신에서는 게시글을 발견됐지만 피해 업체를 공격한 동기는 알려지지 않는다고 전했다. 또한 피해 업체의 홈페이지는 정상적으로 운영 중이며 어떠한 범죄의 징후도 발견되지 않았다고 덧붙였다.
미국의 건설업체 젬코 컨스트럭터스(GEMCO Constructors)를 공격했다고 주장하는 랜섬웨어 그룹이 등장했다. 해당 그룹은 메두사(Medusa)로 밝혀졌으며, 피해 업체에서 총 1TB에 달하는 데이터를 탈취했다는 글을 게시한 것으로 알려졌다. 또한, 6~7일 이내에 탈취한 데이터를 공개하겠다는 빌미로 피해 업체에 90만 달러(한화 약 12억 4,245만원)를 요구한 소식이 전해졌다. 해당 게시글에서는 내부 문서와 도면 등의 샘플 파일이 확인되며 현재 전체 데이터가 공개된 것으로 보인다.
▲구글 트렌드-분기별 랜섬웨어 관심도 비교[자료=잉카인터넷 시큐리티대응센터]
올해 4월부터 6월 사이에 활동이 많았던 랜섬웨어의 구글 트렌드 검색어를 조사한 결과 헌터스 인터내셔널(Hunters International) 랜섬웨어가 가장 많이 검색됐다. 특히 헌터스 인터내셜 랜섬웨어의 검색량이 최고치를 달성한 4월 1주차에는 일본 광학기기 제조업체 호야(Hoya)의 피해 사례가 있었다. 메두사(Medusa) 랜섬웨어가 가장 많은 검색량을 보여준 5월 4주차에는 캐나다 통신 업체 컴웨이브 네트웍스(Comwave Networks)의 피해 사례가 있었다. 마지막으로 아키라(Akira) 랜섬웨어의 검색량이 가장 많은 6월 1주차에는 오스트레일리아의 전자 기기 제조업체 파나소닉 오스트레일리아(Panasonic Australia) 피해 사례가 있었다.
▲2024년 2분기 월별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]
다음은 랜섬웨어 조직이 탈취한 것으로 주장하는 데이터가 게시된 데이터 유출 사이트 38곳의 정보를 취합한 결과다. 2024년 2분기에 발생한 데이터 유출 현황을 월별로 비교했을 때 5월에 데이터 유출이 가장 많이 발생했다.
▲2024년 2분기 국가별 데이터 유출 비율[자료=잉카인터넷 시큐리티대응센터]
같은 기간에 발생한 데이터 유출 건을 국가별로 비교했을 때 미국이 50%로 가장 높은 비중을 차지했다. 뒤이어 영국이 6%, 캐나다가 5%, 이탈리아와 스페인이 각 4%, 프랑스 3% 순으로 나타났다.
▲2024년 2분기 산업별 데이터 유출 현황[자료=잉카인터넷 시큐리티대응센터]
2024년 2분기에 발생한 데이터 유출 건을 산업별로 비교했을 때 제조·공급 분야가 가장 많은 공격을 받았으며, 건설·부동산 분야가 그 다음으로 많은 공격을 받았다. 뒤이어 의료·제약 분야, 기술·통신 분야, 도소매업·전자상거래, 유통·무역·운송, 금융 서비스, 법률, 교육 서비스, 정부·공공기관 등의 순으로 데이터 유출이 발생한 것으로 조사됐다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
김영명기자 기사보기
[2025-03-12] 
