2024년 2월 딥웹 & 다크웹 동향보고서
알림
2024년 2월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Forums 및 Black Market, Threat Actor내용으로 구성되어 있다. 내용중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.
주요 이슈
1) Ransomwares
(1) ALPHV/BlackCat
지난 2월 말, 미국 연방수사국(FBI)과 사이버 보안 및 인프라 보안국(CISA)은 미국 병원들이 ALPHV/BlackCat (이하 BlackCat) 랜섬웨어 공격의 대상이 될 수 있음을 경고하였다. 이러한 이유는 작년 12월 중순, 법 집행 기관이 BlackCat 랜섬웨어 갱단의 DLS (Dedicated Leak Sites)에 대한 압수와 폐쇄 조치를 취한 이후 나온 권고문이다. 법 집행 기관에 폐쇄된 갱단의 인프라는 다시 부활하여 활동을 재시작 하였고 이후 계열사들에게 의료기관을 공격 대상으로 삼도록 권장하였기 때문이다.
또한 갱단은 의료기관 이외에도 지난 2월16일, 자신들이 운영하는 DLS (Dedicated Leak Sites)에 미국의 유명 금융회사이며, 글로벌 500대 기업 중 하나인 보험, 은퇴 계획, 투자 관리 등 다양한 제품과 서비스를 제공하는 자회사를 보유한 프루덴셜 파이낸셜을 피해자로 게시하였다. 이보다 앞선 지난 2월 12일, 프루덴셜 파이낸셜은 사이버 보안 사고 피해 소식을 미국 증권거래소에 “FORM 8-K” 보고서(회사 투자자로 하여금 투자판단에 영향을 미칠 만한 중대한 사건 발생 공시 보고서)로 제출하였는데, 그 내용 중 일부를 번역하면 다음과 같다.
[그림1] 미국 증권거래소에 FORM 8-K 보고서
| 2024년 2월 5일, Prudential Financial, Inc.(“회사” 또는 “당사”)는 2024년 2월 4일부터 위협 행위자가 특정 시스템에 무단으로 액세스했다는 사실을 발견했습니다. 외부 사이버 보안 전문가의 도움을 받아 사이버 보안 사고 대응 프로세스를 즉시 활성화하여 사고를 조사, 억제 및 해결했습니다. 이 보고서 날짜를 기준으로 우리는 사이버 범죄 그룹으로 의심되는 위협 행위자가 특정 정보 기술 시스템과 직원 및 계약자와 관련된 소수의 회사 사용자 계정에서 회사 관리 및 사용자 데이터에 액세스했다고 믿습니다. 우리는 사건의 영향을 판단하기 위해 위협 행위자가 추가 정보나 시스템에 액세스했는지 여부를 포함하여 사건의 범위를 계속 조사하고 있습니다. 현재까지의 조사에 따르면 위협 행위자가 고객 또는 클라이언트 데이터를 가져갔다는 증거는 없습니다. 우리는 이 문제를 관련 법 집행 기관에 보고했으며 규제 당국에 알리고 있습니다. 본 보고서 작성일 현재, 해당 사건은 회사의 영업에 중대한 영향을 미치지 않았으며, 회사는 해당 사건이 회사의 재무상태나 영업결과에 중대한 영향을 미칠 가능성이 합리적으로 판단되지 않았습니다. |
[표1] Prudential Financial, Inc. 가 제출한 8-K 보고서 중 일부 내용
BlackCat 랜섬웨어 갱단은 DLS 에 프루덴셜 파이낸셜을 피해자로 게시했지만, 데이터 유출과 같은 증거는 게시되지 않았고, 미국 정부와 손해보험회사를 비방하는 내용과 피해 기업 고위직 (C 레벨) 에게 메일로 증거를 보여주었으며, 현재도 프루덴셜 네트워크에 접근하여 데이터를 유출 할 수 있다고 주장하고 있다.
[그림2] BlackCat DLS에 피해자로 게시된 Prudential Financial, Inc.
ALPHV (BlackCat) 은 2021년 11월에 처음 알려졌으며 DarkSide 및 BlackMatter 랜섬웨어 갱단의 리브랜드로 알려졌다. Rust 언어로 작성된 랜섬웨어를 최초 개발한 것으로도 알려져 있으며 계열사들로부터 몸값의 일정 비율을 받는 RaaS (Ransomware-as-a-service) 모델로 운영되고 있다. 피해자의 데이터를 암호화하고, 이를 DLS 게시하여 몸값을 요구하는 이중, 또는 삼중 갈취 전술을 사용한다.
갱단의 DLS는 2023년 12월 14일 무렵, 약 10일가량 접속이 되지 않았으며 이후 다시 활동을 시작하였는데 접속이 되지 않았던 이유는 법 집행 기관의 작전에 의한 것으로 밝혀지기도 했다. 이와 같은 현상은 문서를 작성 중인 3월 초, 다시 재현되었는데 새로운 DLS에 접속되지 않았다가, 기존 DLS와 마찬가지로 법 집행기관에 의해서 압수 및 폐쇄된 배너 화면이 나오고 있다. 새로운 DLS에 접속이 불가할 당시에는 이를 두고 호스팅 업체의 시스템의 문제인지, 법 집행 기관의 2차 작전 또는 리브랜드를 준비하고 있는 것인지, 아니면 몸값만 받아내고 계열사에게 수익금을 지불하지 않으려는 운영자의 출구 사기 등 여러가지 추측이 난무하고 있다.
위 사건과 별도로 미국 국무부는 ALPHV (BlackCat) 랜섬웨어를 운영하는 국제 조직 범죄 그룹의 핵심 리더십 위치를 파악하거나 신원을 밝혀내는 정보에 대해 최대 1천만 달러의 현상금을 제공하고 있으며, 또한, ALPHV/Blackcat 랜섬웨어 활동에 참여하거나 참여를 시도하는 개인의 체포 및 유죄 판결에 이르는 정보에 대해 최대 500만 달러의 현상금을 제공하고 있다.
