Review of KIISC (정보보호학회지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지

주요 랜섬웨어에 대한 최신 동향 분석

  • 박세준 (국민대학교 금융정보보안학과) ;
  • 조동후 (국민대학교 정보보안암호수학과) ;
  • 박진철 (국민대학교 정보보안암호수학과) ;
  • 김현준 (국민대학교 금융정보보안학과) ;
  • 백승준 (국민대학교 금융정보보안학과) ;
  • 김종성 (국민대학교 금융정보보안학과/정보보안암호수학과)
  • Published : 2024.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

랜섬웨어는 금전 등을 목적으로 피해자의 시스템을 암호화하는 악성 프로그램이다. 랜섬웨어 갱단에 금전을 지불하는 기업 및 개인이 증가하며 랜섬웨어는 국제적인 문제로 떠올랐다. 국제 사회는 이에 대한 대응 차원에서 랜섬머니 지불 금지정책, 랜섬웨어 갱단 소탕 등을 통해 랜섬웨어 갱단을 압박하기 시작했다. 그러나 2019년부터 2023년까지 랜섬웨어 피해액은 2억 2천만 달러에서 11억 달러로 약 5배 증가하였다. 본 논문은 각종 규제에도 불구하고 피해액이 증가한 원인을 찾기 위해 2022년 1월부터 2024년 8월까지 피해 발생 건수가 많은 상위 5종 랜섬웨어 LockBit, Cl0p, BlackCat, Black Basta와 Rhysida 랜섬웨어의 피해 사례를 종합하였다. 이후 해당 내용을 기반으로 피해액 증가 원인에 대해 분석하였다.

Keywords

Ⅰ. 서론

DarkSide 랜섬웨어 갱단의 콜로니얼 파이프라인 공격은 미국 전역의 송유관을 마비시키며 랜섬웨어의 위험성을 알렸다[1]. 이후 전 세계적으로 랜섬웨어 갱단 소탕에 많은 관심을 기울이고 있다. 2021년 9월과 2022년 4월 미국 재무부의 랜섬머니 지불 제재 및 랜섬웨어 유관 가상화폐 거래소 제한 정책 발표[2, 3], 2022년 7월 영국 국립사이버보안센터(National Cyber Security Centre)와 정보위원회(Information Commissioner's Office)의 랜섬머니 지불 반대 정책 발표[4], 2021년 6월 Cl0p 랜섬웨어 갱단 체포[5] 등의 국제적인 랜섬웨어 갱단 압박은 2022년 랜섬웨어 피해액 규모 감소에 영향을 미쳤다[6].

그러나 Chainalysis의 보고서[6]에 따르면 2019년부터 증가하던 랜섬웨어 피해액은 2022년에 감소하였다가 2023년에 다시 증가한다[그림 1]. 본 논문에서는 랜섬웨어 대응을 위한 국제적인 협력에도 불구하고, 피해액이 증가한 원인을 파악하고자 2022년 1월부터 2024년 8월까지 피해 발생 건수가 많은 상위 5개 랜섬웨어(LockBit, Cl0p, BlackCat, Black Basta와 Rhysida)의 피해 사례를 정리하였다. 이후 피해 사례 분석을 통해 랜섬웨어 공격 대상의 변화를 살펴본다.

JBBHBD_2024_v34n5_19_1_f0001.png 이미지

[그림 1] 연도별 랜섬웨어 피해액[6]

논문의 구성은 다음과 같다. 2장에서는 주요 랜섬웨어를 소개하며, 3장에서는 랜섬웨어별 피해 사례 및 공격 대상 동향을 정리한다. 마지막으로 4장에서는 결론으로 마무리한다.

Ⅱ. 주요 랜섬웨어 소개

2.1. LockBit 랜섬웨어

LockBit 랜섬웨어는 2019년에 등장한 ABCD 랜섬웨어의 변종으로, 2022년 전 세계에서 가장 많이 배포된 랜섬웨어로 집계되었다[7, 8].

LockBit 랜섬웨어 갱단은 주로 실행 파일(exe) 및 문서 파일(docx)로 위장하여 랜섬웨어를 유포한다[9, 10]. 다른 랜섬웨어와 달리 데이터 유출 후, 데이터 암호화 및 분산 서비스 거부(Distributed Denial of Service, DDoS) 공격을 취하는 삼중 갈취 전략을 사용한다[11].

2.2. Cl0p 랜섬웨어

Cl0p 랜섬웨어는 2019년에 등장하여, 주요 국제 기업들을 대상으로 5억 달러 이상의 랜섬머니를 갈취한 랜섬웨어이다[12]. 랜섬웨어에 포함된 전자 서명이 공인된 인증기관으로부터 유효한 인증서를 발급받았기에, 백신 탐지를 우회할 수 있다[13].

Cl0p 랜섬웨어 갱단은 대규모 피싱 캠페인, 시스템 취약점 등을 통해 랜섬웨어를 유포한다. 주로 기업의 중앙 전산 관리 서버를 대상으로 공격을 수행하며, 서버와 연결된 모든 드라이브를 암호화한다[14]. 최근에는 Fortra LLC에서 제공하는 파일 전송 프로그램 GoAnywhere와 Ipswitch, Inc.에서 제공하는 파일 관리 프로그램 MOVEit의 제로데이 취약점을 악용하여 랜섬웨어를 유포하였다[15].

2.3. BlackCat 랜섬웨어

BlackCat(ALPHV) 랜섬웨어는 2022년에 등장한, Rust 언어로 개발된 최초의 랜섬웨어이다. Rust 언어는 메모리 안정성을 보장하기 위해 복잡한 메모리 관리 방식을 사용한다. 이는 C/C++로 개발된 일반 랜섬웨어보다 많은 분석 시간을 소요하게 한다.

BlackCat 랜섬웨어 갱단은 유출된 사용자 자격 증명을 악용하여 공격 대상 컴퓨터에 침투하거나, 파일 전송 프로그램인 WinSCP 설치 프로그램으로 위장하여 랜섬웨어를 유포하였다[16, 17].

2.4. Black Basta 랜섬웨어

Black Basta 랜섬웨어는 2022년에 등장한 랜섬웨어이다. Black Basta 랜섬웨어는 유포 후 단기간에 미국, 일본, 캐나다, 영국 등 특정 국가의 100여 개 이상 기업에 피해를 입혔다[18].

Black Basta 랜섬웨어 갱단은 네트워크 정보 추출 도구인 Mimikatz를 사용하여 자격 증명을 덤프한다. 이후 수집된 자격 증명을 사용하여 권한 상승 공격을 통해 네트워크를 장악 후. 랜섬웨어를 유포한다[19].

2.5. Rhysida 랜섬웨어

Rhysida 랜섬웨어는 2023년에 등장하여 영국 도서관, Isomniac Games, 칠레 군대 등을 포함하여 주로 공공기관이나 의료 기관을 대상으로 공격을 수행한 랜섬웨어이다[20, 21]. 2023년 12월 Rhysida 랜섬웨어 복구 도구가 개발되었으나, 최근 변종 Rhysida 랜섬웨어가 등장하였다.

Rhysida 랜섬웨어 갱단은 침투 테스트 도구인 Cobalt Strike를 사용하여 대상 시스템에 접근한다. 이후 권한 상승 공격을 통해 랜섬웨어를 유포한다[22].

Ⅲ. 주요 랜섬웨어 피해 사례

본 장에서는 2022년 1월부터 2024년 8월까지 발생한 LockBit, Cl0p, BlackCat, Black Basta와 Rhysida 랜섬웨어의 주요 피해 사례를 정리하였다. 이후 2022년 1월부터 2024년 8월까지 발생한 피해 사례를 표로 정리하였다.

3.1. LockBit 랜섬웨어 주요 피해 사례

2022년 4월 미국 정부 기관이 공격받았다[23]. 랜섬웨어는 원격 데스크톱(Remote Desktop Protocol, RDP)의 취약점을 통해 침투하였다. 시스템 침투 후 최소 5개월이 지난 후에 감염 사실을 알게 되었으며, 공격자는 계정의 자격 증명을 탈취하여 네트워크 손상을 확대하려고 하였다. 공격자가 접근할 수 있는 원격 서버를 차단했지만, 네트워크 일부는 이미 암호화된 상태였다.

2023년 1월 영국의 우편 및 택배 서비스 제공 회사 Royal Mail이 공격받았다[24]. 해당 공격으로 국제 배송에 사용되는 컴퓨터가 암호화되었으며, 세관 문서를 출력하는 프린터에서 랜섬노트가 인쇄되었다. 그 결과, 모든 국제 배송 및 수출 서비스가 중단되었다.

2023년 2월 미국의 치과 건강 보험회사 MCNA (Managed Care of North America) Dental이 공격받았다[25]. 해당 공격으로 700GB에 달하는 약 900만명의 환자 개인정보가 유출되었다. 공격자는 1,000만 달러의 랜섬머니를 요구했으며, 탈취한 정보를 모두 웹사이트에 공개하였다.

2023년 7월 일본 나고야 항구 시설이 공격받았다[26]. 해당 공격으로 시스템이 암호화되어 화물 적재 및 하역 시스템이 마비되어, 컨테이너 15,000개의 하역이 중단되었다.

3.2. Cl0p 랜섬웨어 주요 피해 사례

2023년 1월 미국의 환자 의료 비용 관리 서비스 업체 Intellihartx가 공격받았다[27]. 환자 포함 약 49만명의 이름, 주소, 생년월일 등의 데이터가 유출되었다. 업체 측은 데이터가 유출된 환자에게 통지하였으며 법무부에 침해 내용을 전달하였다.

2023년 5월 미국의 오리건주 교통부가 공격받아, 약 350만 명의 개인정보가 유출되었다[28]. 유출된 데이터에는 운전면허증, 신분증이 포함되어 있다. 교통부는 사고 발생 후 보호 조치를 취하였으며, 갱단의 어떠한 요구도 받아들이지 않았다.

2023년 5월 미국의 루이지애나주 차량관리국이 공격받았다[29]. 해당 공격으로 루이지애나주에서 운전면허증을 소지한 모든 주민 약 600만 명의 데이터가 손상되었다. 차량관리국은 신원 사기 방지를 위한 조치를 취할 것이라고 밝혔으며, 갱단의 어떠한 요구도 받아들이지 않았다.

2023년 5월 미국 비디오 게임 사업 회사 Sony Interactive Entertainment가 공격받아, 전/현직 직원들 약 6,800명의 개인정보가 유출되었다[30]. 기업은 침해 발견 즉시 오프라인으로 전환하고 취약점을 수정하였다. 또한, 피해를 입은 사람에게 신원 복구 서비스를 무료로 제공하겠다고 밝혔다.

2023년 5월 미국의 공공의료 프로그램 제조업체 CareSource가 공격받았다[31]. 해당 공격으로 환자 이름, 생년월일, 처방약 정보, 의료기록 등의 민감한 개인정보를 포함한 40GB의 데이터가 유출되었다.

3.3. BlackCat 랜섬웨어 주요 피해 사례

2022년 2월 스위스의 공항 화물 처리, 항공기 정비, 청소 등의 항공 서비스 제공회사 Swissport가 공격받았다[32]. 해당 공격으로 여권번호, 이메일, 전화번호 등의 개인정보를 포함한 1.6TB의 데이터가 유출되었다. 또한, 취리히 공항의 항공편 22편이 약 30분 지연되었다[33].

2023년 7월 일본의 시계 제조업체 Seiko가 공격받았다[34]. 해당 공격으로 인해 이름, 주소 등의 고객 정보, 회사 지원자의 개인정보와 전/현직 직원의 인사 정보가 유출되었다.

2024년 2월 미국의 의료 인프라 서비스 제공업체 Change Healthcare가 공격받았다[35]. 해당 공격으로 인해 미국 국민 1/3의 사회보장번호, 의료기록 등의 민감 정보가 유출되었다. 또한, 모회사 United HealthCare는 데이터 유출을 막기 위해 2,200만 달러를 BlackCat 랜섬웨어 갱단에게 지불하였다.

3.4. Black Basta 랜섬웨어 주요 피해 사례

2023년 5월 로봇, 에너지와 자동화 기술 분야의 스위스 기반 다국적 기업 ABB가 공격받았다[36]. 해당 랜섬웨어의 공격으로 인해 Windows Active Directory가 손상되었고 수백 대의 컴퓨터가 영향을 받았다. ABB는 추가 감염을 막기 위해 고객과의 VPN 연결을 종료하였다.

2023년 5월 독일의 자동차 및 무기 제조업체인 Rheinmetall AG 기업이 공격받아 내부 데이터가 유출되었다[37]. Black Basta 랜섬웨어 갱단은 유출 사이트에 비공개 계약, 기술 도식, 여권 스캔본 및 구매 주문서 등을 포함한 데이터를 게시하였다.

2024년 1월 현대자동차의 유럽 사무소가 공격받았다[38]. Black Basta 랜섬웨어 갱단은 해당 공격을 통해 약 3TB의 데이터를 탈취했으며, 현대자동차 측은 구체적인 피해에 대해 밝히지 않았다. Black Basta가 유출한 데이터의 폴더 이름으로 유추하였을 때 법무, 영업, 인사, 회계, IT, 경영 등 다양한 부서와 관련된 것으로 추정된다.

3.5. Rhysida 랜섬웨어 주요 피해 사례

2023년 7월 케냐의 계측 표준과 관행을 관리하고 유지하는 일을 담당하는 정부 기관인 KEBS (Kenya Bureau of Standards)가 공격받아 약 739GB의 데이터가 유출되었다[39]. 유출 데이터에는 금융 기록, 이메일, 제품 테스트 데이터 등의 민감 정보가 포함되어 있다. 케냐 표준국은 Rhysida 랜섬웨어 갱단의 협상을 거절하였다. 이후 Rhysida 랜섬웨어 갱단은 유출 데이터를 다크 웹 경매를 통해 공개하였다.

2023년 8월 미국의 의료 시스템 기업인 Prospect Medical Holdings가 공격받아 1TB의 문서와 1.3TB의 데이터베이스가 유출되었다[40]. 유출 데이터에는 50만 개의 사회보장번호, 회사 문서, 환자 기록이 포함되어 있다. Rhysida 랜섬웨어 갱단은 유출한 데이터를 50비트코인에 판매하겠다고 위협했다.

2024년 1월 미국 시카고의 어린이 병원 The Ann & Robert H. Lurie Children’s Hospital이 공격받았다[41]. 해당 공격으로 인해 병원은 전화, 이메일 및 의료기록 시스템을 포함한 전자 시스템이 중단되었다. 또한, 약 79만 명의 이름, 주소, 생년월일 등 민감한 정보가 유출되었다.

3.6. 그 외 랜섬웨어 피해 현황

2022년 1월부터 2024년 8월까지 확인된 LockBit, Cl0p, BlackCat, Black Basta와 Rhysida 랜섬웨어의 피해 사례를 분류하였다. 사회 기반 시설의 상세 분류기준은 [표 1]과 같다. 해당 분류 기준을 통해 정리한 피해 사례는 [표 2]와 같다.

[표 1] 사회 기반 시설 분류 기준

JBBHBD_2024_v34n5_19_4_t0001.png 이미지

[표 2] LockBit, Cl0p, BlackCat, Black Basta와 Rhysida 랜섬웨어 피해 사례(2022. 01. ~ 2024. 08.)

JBBHBD_2024_v34n5_19_4_t0002.png 이미지

2022년에는 기업 및 개인 9건, 사회 기반 시설 8건 총 17건의 피해 사례가 발생하였다. 2023년에는 기업 및 개인 21건, 사회 기반 시설 38건(의료 15건, 교육 4건, 그 외 19건) 총 59건의 피해 사례가 발생하였다. 2024년 1월부터 8월 사이에는 기업 및 개인 2건, 사회기반 시설 6건(의료 3건, 그 외 3건) 총 8건의 피해 사례가 발생하였다. 사회 기반 시설 공격 비율은 2022년 약 47%에서 2024년 8월까지 약 74%로 약 27% 증가하였다. 연도별 랜섬웨어 피해 대상 비율은 [그림 2]와 같다.

JBBHBD_2024_v34n5_19_4_f0001.png 이미지

[그림 2] 연도별 랜섬웨어 피해 대상 비율

Ⅳ. 결론

본 논문은 국제적 압박에도 불구하고 피해액이 증가한 원인을 찾기 위해 피해 발생 건수가 많은 상위 5개 랜섬웨어의 피해 사례를 정리하였다. 분석 결과, 랜섬웨어 갱단은 압박에 대응하기 위해 공격 목표를 기업과 개인에서 사회 기반 시설 로 변경한 것으로 나타났다.

실제로 랜섬웨어 피해 기관 중 사회 기반 시설은 2022년 약 47%였지만 2023년 약 64%, 2024년 8월까지는 약 74%로 증가하였다. 이는 사회 기반 시설이 랜섬머니를 지불할 확률이 높기 때문이다. 의료 기관은 랜섬웨어 공격을 받아 시설이 마비되면 응급 환자 처치나 일반 진료가 불가해진다. 또한, 신체 사진, 진료 기록 등의 민감한 개인정보가 유출될 위험이 있어, 이를 막기 위해 랜섬머니를 지불할 가능성이 높다. 수도, 전기와 같은 사회 기반 시설은 마비 시 국가가 마비될 수 있기에, 빠른 복구를 위해 지불 가능성이 높다. 랜섬머니 지불은 랜섬웨어에 활동 자금으로 사용되어, 더 많은 피해자를 양산한다. 따라서 사회 기반 시설은 랜섬웨어 사전 대응 조치를 강화해야 한다.

랜섬웨어 피해를 예방하기 위해서 주요 데이터 백업, 소프트웨어 최신 버전 업데이트, 백신 설치 등의 사전 대응은 중요하다. 만일 랜섬웨어에 감염되었을 경우, 피해를 최소화 하기 위한 조치가 취해져야 한다. 가장 중요한 것은 컴퓨터 전원을 끄지 않는 것이다. 이는 파일 암호화에 사용된 키가 메모리상에 남아있을 수 있기 때문이다. 이후 NO MORE RANSOM 등의 사이트에서 랜섬웨어 복구 도구를 찾아 복구를 시도해야한다. 복구 도구 개발은 랜섬웨어 갱단에게 랜섬머니를 지불하지 않고, 파일을 복구할 수 있는 방안 중 하나이다. 이는 랜섬웨어 갱단의 범죄 수익성을 악화시켜, 활동을 약화시킬 수 있다. 따라서 랜섬웨어 갱단의 완전 소탕을 위해서는 복구 도구 개발은 지속적으로 진행되어야 한다.

References

  1. 조선일보, "https://www.chosun.com/international/2021/05/14/ZUGVTNISHJC7THJNHCZYSE5T34/"
  2. Office of Foreign Assets Control, "https://ofac.treasury.gov/recent-actions/20201001"
  3. Office of Foreign Assets Control, "https://ofac.treasury.gov/recent-actions/20210921"
  4. National Cyber Security Centre, "https://www.ncsc.gov.uk/news/solicitors-urged-to-help-stem-the-rising-tide-of-ransomware-payments"
  5. KBS뉴스, "https://news.kbs.co.kr/news/pc/view/view.do?ncd=5301860"
  6. Chainalysis, "The 2024 Crypto Crime Report", Feb, 2024
  7. Trend Micro, "https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-lockbit"
  8. SCADAfence, "https://blog.scadafence.com/lock- bit-ransomware-targets-ot"
  9. AhnLab, "https://asec.ahnlab.com/en/47739"
  10. AhnLab, "https://asec.ahnlab.com/en/60633"
  11. Cyware Social, "https://cyware.com/news/lockbitadds-triple-extortion-tactic-and-develops-ddos-defenses-b45fd592"
  12. Wikipidia, "https://en.wikipedia.org/wiki/Clop_(cyber_gang)"
  13. AhnLab, "https://asec.ahnlab.com/1236"
  14. EST security, "https://blog.alyac.co.kr/2212"
  15. Boannews, "https://www.boannews.com/media/view.asp?idx=114729"
  16. CISA, "https://www.cisa.gov/news-events/alerts/2022/04/22/fbi-releases-iocs-associated-blackcatalphv-ransomware"
  17. Trend Micro, "https://www.trendmicro.com/en_us/research/23/f/malvertising-used-as-entry-vectorfor-blackcat-actors-also-lever.html"
  18. BlackBerry, "https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/black-basta"
  19. FLASHPOINT, "https://flashpoint.io/blog/understanding-black-basta-ransomware"
  20. Wikipidia, "https://en.wikipedia.org/wiki/Rhysida_(hacker_group)"
  21. Securin, "https://www.securin.io/ransomware/allabout-rhysida-ransomware"
  22. Trend Micro, "https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-rhysida"
  23. BleepingComputer, "https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-lurked-in-a-us-gov-network-for-months"
  24. BleepingComputer, "https://www.bleepingcomputer.com/news/security/royal-mail-cyberattack-linked-to-lockbit-ransomware-operation"
  25. BleepingComputer, "https://www.bleepingcomputer.com/news/security/mcna-dental-data-breach-impacts-89-million-people-after-ransomware-attack"
  26. The Asahi Shimbun, "https://www.asahi.com/ajw/articles/14954966"
  27. The HIPAA Journal, "https://www.hipaajournal.com/intellihartx-class-action-lawsuit-490k-recorddata-breach"
  28. Oregon Capital Chronicle, "https://oregoncapitalchronicle.com/2023/06/15/data-breach-could-affect-3-5-million-oregonians/"
  29. KADN News 15, "https://www.kadn.com/news/louisiana-1-of-2-states-to-have-omv-affected-by-russian-cyber-extortion-gang-attack/article_84465da8-0cba-11ee-9006-8f9ddad51707.html"
  30. Security affairs, "https://securityaffairs.com/151982/data-breach/sony-sent-data-breach-notifications-to-about-6800-individuals.html"
  31. cybernews, "https://cybernews.com/news/caresource-data-leak-cl0p-ransomware-attack/"
  32. BleepingComputer, "https://www.bleepingcomputer.com/news/security/blackcat-alphv-claims-swissport-ransomware-attack-leaks-data/"
  33. Security affairs, "https://securityaffairs.com/127655/cyber-crime/swissport-international-ransomware-attack.html"
  34. Seiko Instruments Inc., "https://www.sii.co.jp/en/news/topics/2023/10/25/12232/"
  35. BleepingComputer, "https://www.bleepingcomputer.com/news/security/change-healthcare-lists-the-medical-data-stolen-in-ransomware-attack/"
  36. BleepingComputer, "https://www.bleepingcomputer.com/news/security/multinational-tech-firm-abb-hit-by-black-basta-ransomware-attack/"
  37. BleepingComputer, "https://www.bleepingcomputer.com/news/security/arms-maker-rheinmetall-confirms-blackbasta-ransomware-attack/"
  38. BleepingComputer, "https://www.bleepingcomputer.com/news/security/hyundai-motor-europe-hitby-black-basta-ransomware-attack/"
  39. techweez, "https://techweez.com/2023/07/25/kebs-suffers-a-massive-data-breach/#google_vignette"
  40. SC Media, "https://www.scmagazine.com/news/rhysida-claims-responsibility-for-ransomware-attacks-on-prospect-medical-holdings"
  41. The Record, "https://therecord.media/chicago-childrens-hospital-data-breach-ransomware"
  42. POLITICO, "https://www.politico.eu/article/infamous-ransomware-group-claims-it-hacked-frances-justice-ministry"
  43. BleepingComputer, "https://www.bleepingcomputer.com/news/security/bridgestone-americas-confirms-ransomware-attack-lockbit-leaks-data"
  44. Secure Blink, "https://www.secureblink.com/cyber-security-news/420-gb-lost-in-lock-bit-ransomware-attack-at-rio-de-janeiro-finance-dept"
  45. BleepingComputer, "https://www.bleepingcomputer.com/news/security/blackcat-alphv-ransomware-asks-5-million-to-unlock-austrian-state/"
  46. Security affairs, "https://securityaffairs.com/136310/cyber-crime/elbit-systems-of-america-data-breach.html"
  47. BleepingComputer, "https://www.bleepingcomputer.com/news/security/digital-security-giant-entrust-breached-by-ransomware-gang"
  48. RED HOT CYBER, "https://www.redhotcyber.com/post/la-multinazionale-italiana-faac-e-la-primavittima-di-lockbit-3-0"
  49. BleepingComputer, "https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-attack-on-european-gas-pipeline/"
  50. TECHMONITOR, "https://www.techmonitor.ai/technology/cybersecurity/knauf-cyberattack-blackbasta-ransomware?cf-view"
  51. BBC, "https://www.bbc.com/news/uk-england-stoke-staffordshire-63809829"
  52. BleepingComputer, "https://www.bleepingcomputer.com/news/security/pendragon-car-dealer-refuses-60-million-lockbit-ransomware-demand/"
  53. BleepingComputer, "https://www.bleepingcomputer.com/news/security/canadian-food-retail-giantsobeys-hit-by-black-basta-ransomware/"
  54. cybernews, "https://cybernews.com/news/maple-leaf-foods-ransomware/"
  55. thecyberexpress, "https://thecyberexpress.com/lockbit-3-0-ransomware-attacks-g4s-serbia/"
  56. BleepingComputer, "https://www.bleepingcomputer.com/news/security/colombian-energy-supplier-epm-hit-by-blackcat-ransomware-attack/"
  57. BleepingComputer, "https://www.bleepingcomputer.com/news/security/la-housing-authority-discloses-data-breach-after-ransomware-attack"
  58. BleepingComputer, "https://www.bleepingcomputer.com/news/security/ransomware-attack-on-iongroup-impacts-derivatives-trading-market"
  59. THE GLOBE AND MAIL, "https://www.theglobeandmail.com/business/article-indigo-ransom-cyberattack-lockbit-russia"
  60. BleepingComputer, "https://www.bleepingcomputer.com/news/security/healthcare-giant-chs-reports-first-data-breach-in-goanywhere-hacks/"
  61. The Record, "https://therecord.media/pierce-transit-washington-ransomware-attack-lockbit"
  62. BleepingComputer, "https://www.bleepingcomputer.com/news/security/hatch-bank-discloses-databreach-after-goanywhere-mft-hack/"
  63. TECHMONITOR, "https://techmonitor.ai/technology/cybersecurity/mtu-ransomware-blackcat"
  64. cybernews, "https://cybernews.com/news/alphv-leak-lvhn-patient-data/"
  65. BleepingComputer, "https://www.bleepingcomputer.com/news/security/dish-network-likely-paid-ransom-after-recent-ransomware-attack/"
  66. The Record, "https://therecord.media/thousands-affected-by-ransomware-on-law-firm"
  67. BleepingComputer, "https://www.bleepingcomputer.com/news/security/brightline-data-breach-impacts-783k-pediatric-mental-health-patients/"
  68. BleepingComputer, "https://www.bleepingcomputer.com/news/security/hitachi-energy-confirms-data-breach-after-clop-goanywhere-attacks/"
  69. BleepingComputer, "https://www.bleepingcomputer.com/news/security/french-hospital-chc-sv-refuses-to-pay-lockbit-extortion-demand"
  70. The Guardian, "https://www.theguardian.com/technology/2023/may/02/australian-law-firm-hwl-ebsworth-hit-by-russian-linked-ransomware-attack"
  71. BleepingComputer, "https://www.bleepingcomputer.com/news/security/ncr-suffers-aloha-pos-outage-after-blackcat-ransomware-attack/"
  72. BleepingComputer, "https://www.bleepingcomputer.com/news/security/yellow-pages-canada-confirms-cyber-attack-as-black-basta-leaks-data/"
  73. BleepingComputer, "https://www.bleepingcomputer.com/news/security/american-dental-association-hit-by-new-black-basta-ransomware/"
  74. The HIPAA Journal, "https://www.hipaajournal.com/98000-ut-southwestern-medical-center-patients-affected-by-moveit-cyberattack/"
  75. Becker's Hospital Review, "https://www.beckershospitalreview.com/cybersecurity/johns-hopkins-all-childrens-caught-in-moveit-breach.html"
  76. CNN Indonesia, "https://www.cnnindonesia.com/teknologi/20230513121656-185-949073/mengenal-lockbit-30-ransomware-yang-klaim-curi-data-bsi"
  77. The Record, "https://therecord.media/illinois-misouri-investigate-moveit-incidents"
  78. MSSP Alert, "https://www.msspalert.com/news/cl0p-hackers-hit-three-of-the-biggest-u-s-law-firms-in-large-ransomware-attack"
  79. TechTarget, "https://www.techtarget.com/healthtechsecurity/news/366594250/MOVEit-Transfer-Cyberattack-Impacts-12M-at-Pension-Benefit-Information"
  80. The Record, "https://therecord.media/rochester-university-nova-scotia-move-it-victims"
  81. COMMISSIONER'S OFFICE, "https://oa.mo.gov/commissioners-office/news/state-missouri-issues-statement-recent-global-cyberattack"
  82. SECURITY WEEK, "https://www.securityweek.com/norton-parent-says-employee-data-stolen-inmoveit-ransomware-attack"
  83. BleepingComputer, "https://www.bleepingcomputer.com/news/security/hackers-steal-data-of-45-000-new-york-city-students-in-moveit-breach/"
  84. BBC, "https://www.bbc.com/news/technology-65877210"
  85. The Record, "https://therecord.media/shell-impacted-in-clop-ransomware-attack"
  86. BleepingComputer, "https://www.bleepingcomputer.com/news/security/rhysida-ransomware-leaksdocuments-stolen-from-chilean-army/"
  87. BleepingComputer, "https://www.bleepingcomputer.com/news/security/tsmc-denies-lockbit-hack-as-ransomware-gang-demands-70-million"
  88. The Record, "https://therecord.media/thousands-affected-by-ransomware-on-law-firm"
  89. BBC, "https://www.bbc.com/news/uk-scotland-glasgow-west-66327336"
  90. Cybersecurity, https://www.cybersecurity-insiders.com/lockbit-ransomware-targets-a-province-inquebec-canada
  91. The Cyber Express, "https://thecyberexpress.com/rhysida-pami-cyber-attack-six-days-deadline/"
  92. Tech Crunch, "https://techcrunch.com/2023/11/13/mclaren-cyberattack-millions-patients-ransomware/"
  93. BleepingComputer, "https://www.bleepingcomputer.com/news/security/mgm-resorts-shuts-down-it-systems-after-cyberattack"
  94. The Cyber Express, "https://thecyberexpress.com/gondomar-town-hall-cyberattack"
  95. The Record, "https://therecord.media/rhysida-ransomware-gang-attacks-on-portugal-dominican-republic-governments"
  96. BleepingComputer, "https://www.bleepingcomputer.com/news/security/lockbit-ransomware-leaksgigabytes-of-boeing-data"
  97. BleepingComputer, "https://www.bleepingcomputer.com/news/security/alphv-ransomware-gang-claims-attack-on-florida-circuit-court/"
  98. BleepingComputer, "https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-breach-of-healthcare-giant-henry-schein/"
  99. Security affairs, "https://securityaffairs.com/152486/cyber-crime/alphv-ransomware-morrison-community-hospital.html"
  100. BleepingComputer, "https://www.bleepingcomputer.com/news/security/healthcare-giant-henry-schein-hit-twice-by-blackcat-ransomware/"
  101. The Record, "https://therecord.media/icbc-dealing-with-ransomware-attack"
  102. BleepingComputer, "https://www.bleepingcompu ter.com/news/security/fidelity-national-financialhackers-stole-data-of-13-million-people/"
  103. The Record, "https://therecord.media/foxsemicon-ransomware-attack-taiwan"
  104. Infosecurity Magazine, https://www.infosecurity-magazine.com/news/southern-water-data-breach-black/
  105. The Record, "https://therecord.media/columbus-investigating-data-leak-ransomware-attack"
  106. SC Media, "https://www.scmagazine.com/news/rhysida-ransomware-hits-sumter-county-sheriff-in-latest-ci-attack"
  107. SC Media, "https://www.scmagazine.com/brief/rhysida-ransomware-takes-responsibility-for-bayhealth-hospital-compromise"