2024년 8월 딥웹 & 다크웹 동향보고서
알림
2024년 8월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Forums 및 Black Market, Threat Actor내용으로 구성되어 있다. 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.
주요 이슈
1) Ransomware
(1) Dispossessor
Dispossessor 랜섬웨어 갱단은 2023년 8월부터 활동을 시작하여 2024년 2월 랜섬웨어 생태계에 본격적으로 등장했다. 이 갱단은 Radar라는 이름으로도 알려져 있으며, Brain이라는 닉네임을 사용하는 리더가 이끌고 있었다. Dispossessor의 주요 특징 중 하나는 유명한 LockBit 그룹과의 유사성이다. LockBit의 주요 도메인이 글로벌 법 집행 기관의 광범위한 단속으로 압수된 후, Dispossessor는 빠르게 부상하며 LockBit의 DLS(Dedicated Leak Sites) 구조와 내용을 모방했다.
Dispossessor는 2024년 2월 다크 웹에 등장하여 이전에 LockBit 또는 Snatch 갱단으로부터 유출된 데이터를 다운로드하고 판매할 수 있다고 발표했다. 이 갱단은 Ransomware-as-a-Service (RaaS) 모델을 따르는 것으로 보이지만, 실제 랜섬웨어 기능을 가지고 있지 않은 것으로 보이며, 오히려 데이터 중개인으로 기능하는 것으로 보인다.
주로 미국을 포함한 여러 국가의 중소기업과 조직을 대상으로 공격을 수행했으며, 이중 갈취 모델을 사용하여 피해자의 데이터를 암호화하고, 데이터를 공개하겠다고 협박하며 몸값을 요구했다. 취약한 컴퓨터 시스템, 약한 비밀번호, 이중 인증의 부재 등을 이용하여 피해 기업의 시스템에 접근했으며, 관리자 권한을 획득한 후 데이터를 암호화했다.
2024년 8월 12일, FBI는 국제 공조 수사를 통해 Dispossessor 랜섬웨어 갱단의 서버와 웹사이트를 압류했다. 이 수사는 FBI 클리블랜드 사무소와 영국 국가범죄청(NCA), 독일 바이에른 주 범죄수사국(BLKA) 및 밤베르크 검찰청의 협력으로 이루어졌으며, 미국, 영국, 독일에 걸쳐 분포된 서버와 도메인이 압류되었다.
|
도메인 압류 전 |
도메인 압류 후 |
 |
 |
[그림1] Dispossessor DLS 압류 전/후
수사 결과, 총 43개의 기업이 이 갱단의 공격을 받은 것으로 알려졌으며, 피해 기업은 아르헨티나, 호주, 벨기에, 브라질, 캐나다, 크로아티아, 독일, 인도, 페루, 폴란드, 아랍에미리트, 영국 등 다양한 국가에 위치해 있었다. Dispossessor 갱단은 교육, 의료, 금융 서비스, 운송 등 다양한 산업 분야의 기업을 공격 대상으로 삼았다.
이번 수사를 통해 미국 3개, 영국 3개, 독일 18개의 서버와 미국 기반 도메인 8개, 독일 기반 도메인 1개가 압류되었다. 이는 랜섬웨어 위협에 대한 국제 협력의 중요성을 다시 한번 강조하는 사례로 볼 수 있다. 그러나 랜섬웨어 생태계의 지속적인 변화와 적응을 고려할 때, 법 집행 기관의 지속적인 감시와 대응이 필요할 것으로 보인다.
(2) El dorado
El Dorado는 2024년 3월경에 결성된 것으로 추정되는 비교적 신생 랜섬웨어 갱단이었다. 이들의 존재가 공개적으로 알려진 것은 2024년 6월 그들의 DLS(Dedicated Leak Site)가 발견되면서부터였다. DLS 발견 당시 이미 다수의 피해 기업 정보가 공개되어 있었던 점으로 미루어 보아, 그들은 몇 개월 전부터 은밀히 활동해왔을 가능성이 높다.
El Dorado는 기술적으로 상당히 진보된 랜섬웨어 도구를 사용하는 것으로 알려져 있다. 그들은 Linux와 Windows 시스템 모두를 암호화할 수 있는 독창적인 코드의 암호화기술을 보유하고 있는 것으로 보인다. 이는 그들의 공격 범위가 넓고 다양한 시스템을 표적으로 삼을 수 있음을 시사한다.
이 갱단의 피해 기업 목록을 분석해보면, 주로 미국 내 기업들과 지방 정부 기관들이 표적이 되고 있음을 알 수 있었다. 그러나 그들의 공격 대상은 특정 산업에 국한되지 않고 매우 다양했다. 공공기관, 운영/컨설팅 회사, 수의학 교육/연구 기관, 해상운송 업체, 골프장, 건설/건축 회사, 공장자동화 기업 등이 피해를 입은 것으로 확인되었다.
El Dorado의 개발자들은 러시아어를 사용하는 것으로 추정되었다. 이는 랜섬웨어 코드 내의 언어적 특징이나 그들의 커뮤니케이션 패턴을 통해 유추된 것으로 보였다. 더불어, 이들은 러시아어 사용자들이 주로 이용하는 사이버 범죄 포럼인 RAMP에서 자신들의 갱단을 적극적으로 광고하고 있는 것으로 확인되었다. El Dorado는 Ransomware-as-a-Service(RaaS) 모델을 채택했다.
이 모델은 사이버 범죄자들이 파트너 프로그램을 통해 랜섬웨어 공격을 실행하는 구조로, El Dorado는 특히 침투 전문가(Hacker)를 모집하여 갱단을 확장하고 있었다. 2024년 3월, 러시아어 기반의 RAMP 포럼에 새로운 파트너 프로그램 광고가 게시되었으며, 침투 전문가를 갱단에 합류시키기 위해 모집하고 있었다.
최근 El Dorado 랜섬웨어 갱단은 한국에 위치한 DevOps 전문 컨설팅 기업을 침해하고, 자신들이 운영하는 데이터 유출 전문 사이트(DLS)에 피해 기업을 게시했다.
[그림2] El dorado DLS에 게시된 피해 기업 1
이 피해 기업은 Atlassian, SonarQube, Freshworks 등의 제품을 활용한 구축 컨설팅, 가이드, 교육, 기술 지원 서비스를 주로 제공하는 IT 솔루션 전문 회사였다. 갱단은 해당 기업으로부터 23GB의 데이터를 유출했으며, DLS에 피해 기업의 웹사이트 주소, 전화번호, 그리고 매출액을 공개했다. 또한, 협상을 위한 채팅 링크도 함께 게시했다.
이번 침해 사건은 국내 IT 서비스 업계, 특히 DevOps 및 비즈니스 협업 솔루션 분야에 상당한 충격을 주었으며, 유사 업종 기업들의 보안 강화 필요성을 더욱 부각시켰다.
