2024년 6월 딥웹 & 다크웹 동향보고서
알림
2024년 6월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Forums 및 Black Market, Threat Actor내용으로 구성되어 있다. 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.
주요 이슈
1) Ransomware
(1) Dark Vault
DarkVault 랜섬웨어 갱단은 2024년 4월에 처음 알려졌다. 이들은 LockBit 랜섬웨어 갱단의 DLS(Dedicated Leak Site) 웹사이트 디자인을 모방해 두 갱단이 연결되어 있다는 추측을 야기했다. 하지만 DarkVault가 LockBit을 모방한 최초의 사이버 범죄 그룹은 아니다. 실제로 일부 사이버 범죄 그룹은 자신들의 공격에 LockBit의 이름, 브랜딩 및 유출된 랜섬웨어 빌더를 사용하고 있다. 2022년에 LockBit 개발자 중 한 명에 의해 유출된 LockBit 3.0 랜섬웨어 빌더(LockBit Black으로도 알려짐)가 많은 위협 행위자들에게 공격에 사용되고 있다. DarkVault도 이 빌더를 사용하고 있는지는 확인되지 않았지만, 일부 그룹은 이 코드를 최소한의 변경(예: 자체 메시지 추가)만으로 그대로 사용하거나 새로운 랜섬웨어 변종의 기반으로 활용하고 있다. 현재로서는 DarkVault가 LockBit의 단순한 모방자로 여겨지고 있다.
[그림1] DarkVault DLS에 피해자로 게시된 스마트팜 스타트업
2024년 6월 10일, DarkVault의 DLS(Dedicated Leak Site)에 한국의 스마트팜(축산, 농업, 환경 분야 IoT 디바이스 및 솔루션 개발) 스타트업이 피해 업체로 게시되었다. 갱단은 약 1주일간의 협상 기간을 제시했으며, 이 기간 내에 협상에 응하지 않거나 협상이 실패할 경우 유출한 데이터를 공개할 것으로 보인다. 데이터를 먼저 유출한 후 랜섬웨어로 암호화하는 이런 이중 갈취 전술은 일반적으로 랜섬웨어 갱단에서 흔히 볼 수 있는 모습이다.
(2) Qilin
Synnovis 는 영국 런던에 기반을 둔 의료 진단 서비스 제공업체로, SYNLAB UK & Ireland, Guy’s and St Thomas’ NHS Foundation Trust, King’s College Hospital NHS Foundation Trust의 파트너십으로 운영된다. 런던 남동부 지역의 약 170만 명 주민에게 연간 3천2백만 건 이상의 병리학 서비스와 진단 테스트를 전문적으로 제공하고 있다. 이 서비스를 통해 병원, 일반의, 기타 NHS 의료 서비스 제공자들에게 중요한 진단 지원을 제공하고 있다.
2024년 6월 3일, Synnovis의 IT 시스템 전체에 장애가 발생했다. 이로 인해 Synnovis의 모든 서비스에 영향을 미쳤고, 파트너십을 맺은 일부 의료 기관을 포함한 병원들의 서비스도 중단되는 일이 벌어졌다. 다음 날, Synnovis의 CEO인 Mark Dollar은 공식 성명을 내고 이번 사건은 랜섬웨어 공격 때문에 발생했다고 밝혔다. 또한 이번 공격으로 환자들도 피해를 입었고, 긴급 복구 작업을 우선시하느라 일부 일정이 취소되거나 다른 제공자에게 전환되었다고 설명했다. 특히 수혈 시스템에 문제가 생겨 Guy’s and St Thomas’병원과 King’s College Hospital 병원 등에서는 수혈이 필요한 수술과 시술을 취소해야 했다.
이어 6월 6일, Synnovis는 런던의 남동부에 위치한 Bromley, Southwark & Lambeth, Bexley, Greenwich and Lewisham 지역 돌봄서비스 이용자들에게 의료 검사를 수동으로 운영 중이라고 알렸다. 그러면서 매우 제한된 수의 검사만 진행되고 있어, 긴급한 경우가 아니면 모든 혈액 검사가 중단되었음을 알렸다.
[그림2] Synnovis의 사이버 공격 이후 발표된 공식 성명서
영국의 국가 사이버 보안 센터(NCSC)의 초대 CEO인 Ciaran Liam Martin은 최근 발생한 사이버 공격이 랜섬웨어 갱단 ‘Qilin’에 의해 수행된 것으로 보인다고 밝혔다. Martin은 Qilin이 금전적 동기를 가지고 공격을 감행한 만큼, 랜섬 지불을 통해 문제를 해결할 수 있음을 암시했다. 그러나 영국은 랜섬 지불을 허용하지 않는 정책을 유지하고 있어, 이러한 방식으로는 문제를 해결할 수 없다.
