알림

2024년 4월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Forums 및 Black Market, Threat Actor내용으로 구성되어 있다. 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.

 

주요 이슈

 

1)  Ransomware

 

(1) 8Base
 

 

8Base 랜섬웨어 갱단은 2023년 5월 처음 알려졌고, 알려질 당시 그들의 행동에 따라 랜섬웨어 또는 데이터 강탈 갱단으로 불리기도 한다. 그 이유는 이 갱단이 처음 알려질 당시 랜섬웨어를 사용하지 않고 데이터만 강탈하는 피해만 알려졌기 때문이다. 이 갱단은 자체 랜섬웨어를 가지고 있지 않고 Phobos 랜섬웨어 변형을 사용하는 것으로도 알려졌다. 일반적으로 이런 유형의 사이버 범죄 조직은 그들이 자주 사용하는 주요 공격 기법에 따라 분류되는데, 8Base는 랜섬웨어 갱단으로 더 자주 언급되고 있다.

 

2024년 4월 3일, 랜섬웨어 갱단은 한국의 페인트 제조 회사를 피해자로 지목하고 이를 DLS (Dedicated Leak Sites)에 공개했다. 갱단은 4월 5일, 해당 회사의 데이터를 공개할 것이라고 위협하였으며, 그들이 정한 날짜가 지난 이후 유출된 데이터를 게시한 온라인 파일 배포 플랫폼의 외부 링크가 DLS에 공개되었다.

 

[그림1] 8Base 랜섬웨어 갱단 DLS에 게시된 피해 기업

 

갱단은 피해 기업으로부터 다음과 같은 데이터를 유출했다고 주장하고 있었다.

 

– 송장
– 영수증
– 회계 문서
– 개인 데이터
– 인증서
– 고용 계약서
– 방대한 양의 기밀 정보
– 기밀 유지 계약
– 개인 파일
– 기타

 

그러나 그 당시, 유출된 파일들은 갱단이 게시한 온라인 파일 플랫폼 링크에 존재하지 않았으며 (폴더가 비워져 있다고 표시됨), 문서를 작성하는 5월 초, 해당 파일 공유 플랫폼 링크는 삭제가 된 상태이다.

 

[그림2] 랜섬웨어 갱단이 유출 데이터를 공개한 외부 파일 공유 플랫폼
 

이번 침해 사건은 랜섬웨어 갱단의 전형적인 수법이다. 일단 기업을 공격해 데이터를 탈취하고, 협박 메시지를 DLS에 남긴다. 그리고 기업이 요구 사항을 거부하면 데이터를 유출하겠다고 위협한다. 하지만 갱단은 실제로 데이터를 공개하지 않았다.

 

몇 가지 가능성이 있다. 첫째, 이 갱단이 실제로 데이터를 탈취하지 못했을 수도 있다. 보통 랜섬웨어 갱단은 유출 데이터 일부를 공개하는 증거를 제시한다. 그러나 8Base 갱단의 경우 일반적으로 증거를 제공하지 않는 것으로 알려져 있다. 둘째, 피해 기업이 요구 사항을 수용했을 가능성도 있지만 가능성이 낮아 보인다. 셋째, 단순히 공개할 데이터가 없었거나 이번 사건에서 갱단이 얻고자 하는 바를 이미 성취했다고 판단했을 수 있다.

 

어떤 경우 든 이번 사건은 랜섬웨어의 위험성을 다시 한번 상기시켜 준다. 기업들은 보안 대책을 철저히 해야 하며, 데이터 백업 체계도 갖춰야 한다. 아울러 이런 공격에 대한 대응 매뉴얼도 준비해야 한다. 랜섬웨어는 여전히 기업 환경에 큰 위협이 되고 있다.