다크웹

2024년 3월 딥웹 & 다크웹 동향보고서

  • 4월 05 2024
2024년 3월 딥웹 & 다크웹 동향보고서

알림
 

2024년 3월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Forums 및 Black Market, Threat Actor내용으로 구성되어 있다. 내용중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.

 

주요 이슈
 

1)  Ransomware

 

(1) ALPHV/BlackCat이 사라졌다.
 

랜섬웨어 갱단 ALPHV/BlackCat이 지난 2월 말, 미국의 Change Healthcare를 침해하였다. Change Healthcare는 건강 기술 대기업으로 미국 전역의 약국에서 처방전 발급 관련 서비스를 제공하고 있으며, 침해로 인하여 약 2주간 피해가 발생하였다. 이를 두고 미국 병원 협회는 이번 사태를 “미국 역사상 가장 심각한 미국 의료 시스템에 대한 사이버 공격’이라고 평가하기도 하였다. 이후 피해 기업은 몸값을 전달했고 이를 받은 BlackCat 운영자는 계열사에게 수익을 배분하지 않았다. 이러한 행동을 문제 삼아 계열사가 BlackCat 운영자를 사이버 범죄 포럼에 고발하였다.

 

작년 12월 법 집행기관의 작전에도 불구하고 ALPHV/BlackCat 갱단은 다시 부활하였다.  그러나 최근에는 미국의 Change Healthcare를 침해한 후에 받았던 몸값을 계열사에게 배분하지 않았다는 사실이 밝혀졌다. Change Healthcare에 대한 몸값은 약 2천2백백만 달러였다.

 

BlackCat의 DLS는 과거 주소와 현재 주소 모두 법 집행 기관에 의해서 폐쇄되었다는 배너가 나오다가 현재는 두 주소 모두 접속이 안 되고 있다. 참고로 해당 배너는 작년12월에 법 집행 기관이 작전 후 표시한 배너와 동일하다. 그러나 Europol과 같은 법 집행 기관들은 자신들이 관여하지 않았다고 말하여, 이 배너는 가짜로 알려졌고, 이를 두고 갱단의 운영자들이 ‘출구 사기’ 전략을 수행한 것으로 추정되고 있다.

 


[그림1] BlackCat DLS에 게시된 가짜 법 집행기관 폐쇄 배너

 

또한, 갱단의 운영자들은 소스코드를 판매하려는 의도를 보였으며, 이는 TOX 메시지 상태를 통해 확인할 수 있었다. 현재 이 메시지는 러시아어로 “Все выключено, решаем,” 쓰여 있으며 영어로 번역하면 “Everything is off, we decide.” 이다.

 


[그림2] BlackCat 관리자의 TOX 메신저 상태 – <출처> Menlo Security

 

‘출구 사기’ 전략은 해커들이 자신들의 사업을 철수하면서 동시에 파트너들의 돈을 가로채고 새로 시작하는 전략을 말한다. 이 전략은 보안 전문가들 사이에서 널리 알려져 있으며, ALPHV/BlackCat 갱단의 최근 행동은 이 전략을 따른 것으로 보인다. 일부 전문가들은 비트코인의 가격 상승으로 인해 이 시기가 ‘출구 사기’ 전략을 수행하기에 적절하다고 주장하고 있기도 하다.

 

ALPHV/BlackCat 갱단이 이 사건을 계기로 완전히 사라질 수도 있지만, 다른 이름으로 재탄생할 가능성도 있다. 갱단이 이전에도 DarkSide -> BlackMatter -> ALPHV/BlackCat으로 브랜드 이름을 바꾼 적이 있으며, 이번 사건이 그들의 또 다른 전환의 시작일 수도 있다고 말하고 있다. 이러한 사건들은 랜섬웨어와 사이버 범죄에 대한 이해를 넓히는 데 도움이 되며, 이러한 정보를 통해 더 나은 보안 전략을 수립하고, 랜섬웨어 공격을 예방하고, 피해를 최소화하는 데 도움이 될 수 있다.

(2) RansomExx의 페루 국방부 공격 주장

RansomEXX 갱단은 2020년 말부터 활동을 시작하였다. 보안 기업 Sentinelone.com에 의하면 갱단은 텍사스 교통부, 그룹 아틀란틱 등 여러 대기업을 공격한 것으로 알려져 있다.  RansomEXX는 대기업과 고가의 목표물을 공격하는 것으로 알려져 있으며, 특히 정부 및 의료 분야, 그리고 고가의 제조 업체들을 중점적으로 공격하고 있다. 이 랜섬웨어는 피싱과 스피어 피싱 이메일을 통해 피해자를 공격하며, 원격 데스크톱 프로토콜(RDP)과 같은 노출되고 취약한 애플리케이션과 서비스를 활용하는 것으로 알려져 있다.

 

페루 국방부는 2024년 3월 24일에 RansomEXX에 의해 피해자로 게시되었다. 이 공격으로 페루 국방부의 데이터가 유출되고 공개되는 결과를 초래했다. 랜섬웨어 갱단은 763.8GB의 데이터를 게시했다. 구체적인 유출 데이터의 종류에 대한 정보는 현재로서는 제한적이다. 페루 국방부는 육상, 해상 및 공중에서 국가 안보를 보호하는 정부 부처이며, 육군, 해군, 공군으로 구성된 페루 군대에 대한 지휘권을 행사한다.
 


[그림3] RansomEXX DLS에 피해자로 게시된 Peru 국방부

 

Tags:
Previous Post

Next Post