알림

 

2024년 5월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Forums 및 Black Market, Threat Actor내용으로 구성되어 있다. 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.

 

 

주요 이슈
 

 

1)  Ransomware

 

 

(1) LockBit
 

 

한 달 만에 드러난 LockBit 랜섬웨어 갱단의 London Drugs 공격이 확인되었다. London Drugs는 캐나다에 본사를 둔 소매 약국 체인으로, 1945년에 설립되었다. 현재는 의약품뿐만 아니라, 전자 제품, 화장품, 식품 등 다양한 제품을 판매하고 있다. British Columbia, Alberta, Manitoba, Saskatchewan 등 캐나다의 여러 주에 걸쳐 79개 이상의 매장을 운영하고 있으며, 약 9,000명의 직원이 근무하고 있다. 지난, 2024년 4월 28일 일요일 오전, London Drugs는 운영상의 문제로 인해 캐나다 서부 전역 79개의 모든 매장이 폐쇄되었다고 소셜 미디어를 통해 발표했다. 그러나 다음날, 사이버 보안 문제를 발견하고 예방 조치로 매장을 폐쇄했음을 밝히고, 해당 사실 발견 즉시 대응 조치를 취함과 동시에 조사를 위해 보안 전문가를 고용했다고 밝혔다. 이로 인해 긴급 약국 서비스를 제외한 나머지 서비스는 중단되었으며, 임시로 모든 London Drugs 매장에 약국 직원이 상주하여 해당 서비스를 지원하게 되었다. 초기에는 고객이나 직원 데이터가 영향을 받은 증거가 없다고 밝혔으나 사건 발생 3일 뒤, 데이터가 얼마나 손상되었는지 조사 중이며, 개인정보가 영향을 받은 경우 개별 통지할 것이라고 공지했다.

 

 

[그림1] London Drugs 소셜 미디어를 통해 발표된 운영 문제에 관한 게시글

 

 

5월 7일부로 79개의 모든 매장이 운영을 재개 했지만, 웹사이트는 여전히 내부 오류로 인해 접속이 불가능한 상태였다. 이후 5월 18일, London Drugs의 사장 겸 최고 운영 책임자 ‘Clint Mahlman’이 성명을 통해 이번 침해로 인해 직원들의 민감한 데이터가 유출되었음을 인정했다. London Drugs는 모든 현재 직원에게 사전 예방 차원에서 24개월간의 무료 신용 모니터링 및 신원 도용 보호 서비스를 제공하고 있다고 밝혔다.

 

 

[그림2] 운영을 재개한다는 London Drugs 게시글

 

사건 발생 후, 약 한 달 뒤 5월 21일, LockBit 랜섬웨어 갱단이 London Drugs에 대한 공격을 주장하며 2,500만 달러의 랜섬을 요구하였다. 해당 금액을 48시간 안에 지불하지 않을 시 데이터를 공개하겠다며 자신들의 DLS (Dedicated Leak Sites)에 피해자로 게시하였다. 하지만 5월 22일, London Drugs가 피해자 목록에서 제거되었다. 이러한 경우에는 피해자가 랜섬을 지불했거나, 갱단과와 피해자 간의 재협상이 진행 중인 것으로 추정할 수 있다. 그러나, London Drugs는 랜섬을 지불하지 않을 것이라는 주장을 유지해 왔으므로 협상을 하지 않았을 가능성이 높으며, DLS에서 제거된 원인은 현재로서는 알 수 없었다.