알림

 

 

2024년 1월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Forums 및 Black Market, Threat Actor내용으로 구성되어 있다. 내용중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.

 

 

주요 이슈

 

1)  Ransomwares

 

 

(1) Black Basta
 

 

Black Basta 랜섬웨어 갱단은 2022년 4월에 처음 알려졌으며 2023년, 한 해 DLS (Dedicated Leak Sites)에 피해자를 자주 게시하여 가장 활동적인 상위 랜섬웨어 갱단에 매번 포함되었다. 그런데 2024년 1월 3일, 알 수 없는 이유로 DLS가 중단되었다.

 

[그림1] Onion Site 접속을 하지 못한 경우 TOR 브라우저에서 보여지는 화면

 

 

이와 같은 현상은 약 10일 동안 지속되었으며, 이후 다시 정상적으로 접속이 되었다. 일부 보안 연구원들은 협상을 위한 채팅 / 결제 사이트는 정상적으로 동작하는 이유를 들어 법 집행기관의 폐쇄는 아닐 것이라는 의견을 내놓기도 하였다. 아직까지도 DLS가 중단된 명확한 이유는 알려지지 않았다.

 

Malwarebytes에 의하면 SRLabs의 연구원들이 Black Basta 랜섬웨어의 암호화 알고리즘의 결함을 이용하여 복호화 도구를 만들었다는 소식을 전했다.  이 도구는 2022년 11월부터 2023년 12월 사이에 암호화된 파일을 복호화 할 수 있다고 한다.  이 버그는 12월 중순, 갱단에 의해 수정이 되었으므로 가장 최근의 암호화된 파일에서는 복호화 되지 않는다고 전했다.

 

2024년 1월, Black Basta 랜섬웨어 갱단은 일본의 글로벌 유리 제조 기업을 피해자로 게시하고, 사용자 개인 폴더, 기술, 인적 자원 및 금융 관련 정보 등 약 1.5TB 크기의 데이터를 유출했다고 주장하였다.   AGC 주식회사 (이전 명칭: 아사히글래스/Asahi Glass Co., Ltd.)는 일본 도쿄에 본사를 둔 글로벌 유리 제조 기업이며, 세계 최대의 유리 회사로, 미츠비시 그룹 소속의 핵심 기업들 중 하나이다.

 

[그림2] Black Basta 랜섬웨어 갱단 DLS에 게시된 AGC

 

랜섬웨어 갱단은 데이터 유출에 대한 증거로 사용자 개인 폴더 리스트와 직원으로 추정되는 사람들의 여권 및 비자 사진 정보를 다수 공개하였다.

 

 

[그림3] 데이터 유출 증거로 제시한 자료들

 

랜섬웨어 갱단이 직원들의 여권 사진과 같은 민감한 정보를 공개하는 주된 이유는 몇 가지가 있다.

 

이유	내용
협박 수단	랜섬웨어 갱단은 피해 기업에 대한 압박 수단으로 개인 정보를 공개한다. 이러한 행동은 피해 기업이 몸값을 지불하도록 만드는데 목적을 두고 있다.
증거 제시	공격자들은 자신들이 피해 기업의 시스템을 침투하고 데이터를 유출했다는 것을 증명하기 위해 이러한 정보를 공개한다. 이는 피해 기업이 공격 사실을 부인할 수 없게 만든다.
파급 효과	개인 정보의 공개는 피해 기업뿐만 아니라 그 기업의 고객, 직원, 파트너 등에게도 영향을 미친다.  이로 인해 피해자 기업의 사업 운영에 심각한 타격을 입힐 수 있다.

Black Basta 와 같은 사이버 범죄자 대부분은 주로 경제적 이익을 추구하며, 대다수의 랜섬웨어 공격과 마찬가지로, 이들은 종종 수백만 달러에 이르는 몸값을 요구한다. 이 갱단의 공격 대상은 특히 영어권 (FVEY, Five Eyes, 파이브 아이즈 – 미국, 영국, 캐나다, 호주, 뉴질랜드)국가를 주로 표적으로 삼는 데 관심을 가지고 있어 다른 랜섬웨어 갱단과 다르게 그들의 행동에 정치적 동기가 있음을 시사하기도 하였다.

 

 

(2) LockBit

 

 

2024년 1월에도 LockBit이 가장 공격적으로 활동한 랜섬웨어 갱단으로 확인되었다. 이 달에는 약 62건의 피해자를 DLS에 게시하였으며, 특히 교육, 의료, 제조업 등이 주요 공격 대상이 되었다. 갱단은 비영리 기관과 병원은 공격하지 않는다는 내부 규칙을 가지고 있지만 이번 달 미국 뉴저지의 의료 센터인 capitalhealth.org 를 공격하였고 환자 진료에 지장을 주지 않기 위해 파일은 암호화하지 않았지만 대신 데이터를 유출하였고 몸값 요구를 충족시키지 못할 경우 민감한 의료 데이터를 유출하겠다고 위협하였다.  병원은 이번 공격으로 약 일주일간 IT 장애를 겪은 것으로 알려졌다.