알림

2023년 12월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Forums 및 Black Market, Threat Actor내용으로 구성되어 있다. 내용중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.

 

주요 이슈

1)  Ransomware

 

(1) ALPHV(BlackCat)

ALPHV (BlackCat) 랜섬웨어 갱단의 DLS (Dedicated Leak Sites)가 법 집행기관에 의해서 폐쇄되었다. 미국 법무부는 미국, 유로폴, 덴마크, 독일, 영국, 네덜란드, 호주, 스페인, 오스트리아의 법 집행 기관들의 작전으로 DLS가 폐쇄가 되었다고 밝혔다.

 

[그림1] ALPHV(BlackCat) 랜섬웨어 갱단 DLS 에 게시된 MeridianLink

 

또한, FBI는 복호화 도구를 개발하여 미국 전역의 FBI 현장 사무실과 전 세계 법 집행 기관이 500건 이상의 피해자에게 암호화된 파일을 복호화 할 수 있는 기회를 제공했으며, 이 솔루션을 구현하기 위해 미국 및 전 세계 수십명의 피해자와 협력하여 총 6,800만 달러에 달하는 몸값을 지불하지 않고, 다수의 피해자를 도왔다고 한다. 이 작전에는 FBI와 협력한 기밀 정보원 (Confidential Human Source, CHS)이 계열사로 침투한 후, RaaS 운영자로부터 계열사 백엔드 패널에 대한 로그인 자격 증명을 얻고 이후 작전을 진행한 것으로 알려졌다. 

 

위와 같은 공식 보도 전, BlackCat 랜섬웨어 갱단의 DLS가 법 집행기관의 조치에 의해서 폐쇄되었다는 소문이 먼저 돌았다. 지난 12월 7일 밤 (한국시간)부터 DLS 접속이 불가능한 상태였고, 12월 13일 (한국시간)부터는 모든 피해자 리스트가 사라진 빈 페이지만 보여지는 DLS에 접속이 가능했다. 이후 갱단은 다음과 같이 DLS 운영을 되찾았으며, 현재는 접속 시 BlackCat 랜섬웨어 갱단의 새로운 onion 주소로 이동된다.

 

[그림2] 압수된 DLS를 다시 탈취한 BlackCat 랜섬웨어 갱단 – <출처 – bleepingcomputer.com>
 

 

이것은 BlackCat 랜섬웨어 갱단이 다시 DLS의 제어권을 가져온 것이며, 갱단은 러시아어로된 성명을 발표하였는데 주목할 내용은 그 동안 계열사들에게 금지했던 “병원, 원자력 발전소를 포함한 모든 인프라를 공격 가능하도록 규칙을 수정했다고 밝혔다. 또한 몸값 수익 배분은 90%으로 조정하여 계열사에게 더 많은 수익이 배분되도록 하였다. 이와 같은 내용은 계열사와 초기 액세스 브로커 (Initial Access Broker, IAB)의 이탈을 방지하려는 노력으로 보이며, 일부 보안 연구원들은 RaaS 운영자에 대한 신뢰가 손상되었기 때문에 계열사와 초기 액세스 브로커들이 다른 RaaS 조직으로 이동하거나 BlackCat 랜섬웨어가 또 다른 브랜드 변경이 이루어질 것으로 예상하고 있다.

 

시기	내용
2020년 8월	DarkSide 랜섬웨어 갱단으로 시작함
2021년 7월	Colonial Pipeline 공격으로 인해 법 집행 기관의 감시와 추적 회피 목적으로 BlackMatter로 리브랜드함
2021년 11월	Emsisoft가 랜섬웨어 취약점을 이용하여 복호화 도구를 만들고 서버가 압수되어 ALPHV/BlackCat 으로 리브랜드함

[표1] BlackCat 랜섬웨어 그룹의 리브랜드 역사

 

 

BlackCat 랜섬웨어 갱단의 DLS가 지난 12월에 법 집행 기관에 의해 중단된 사건은 다음과 같은 중요한 시사점을 가지고 있다.

 

| 사이버 범죄의 지속성

  |이 사건은 사이버 범죄가 지속적인 현상이며, 법 집행기관의 개입에도 불구하고 완전히 제거되지 않는다는 것을 보여주었다.

 

| 국제 협력의 필요성

 |사이버 범죄는 국경을 넘어서기 때문에, 이를 효과적으로 대응하기 위해서는 국제적인 협력이 필요하다.