2025년 2월 딥웹 & 다크웹 동향보고서
알림
2025년 2월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Data Breach, DarkWeb, CyberAttack, Threat Actor내용으로 구성되어 있다. 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.
주요 이슈
1) Ransomware
(1) 개요
2025년 2월 랜섬웨어 생태계는 주목할 만한 변화를 보였다. 전통적인 대형 랜섬웨어 그룹들이 활동을 유지하는 가운데, ‘Run Some Wares’, ‘Anubis’, ‘Kraken Group’, ‘Linkc’ 등 새로운 랜섬웨어 조직들이 시장에 진입했다. 이러한 신규 진입자들은 기존 그룹들과 차별화된 전술을 도입하며 랜섬웨어 생태계의 다변화를 가속화하고 있다. 금년 1월, 500개 이상 기업이 피해를 입은 이후에도 공격 활동이 지속되고 있다. 또한, 2024년 랜섬웨어 수익은 감소했으나 피해 규모(역대 최고 – 5,263건)는 증가한 것으로 나타났으며, 총 랜섬웨어 지급액은 전년 대비 35% 감소한 8.13억 달러를 기록했다.[1] 이는 조직들의 위협 대응 역량 향상과 함께 법 집행 기관의 압박이 가시적 효과를 내고 있음을 시사한다.
주목할 만한 점은 랜섬웨어 그룹 간 내부 갈등이 표면화되고 있다는 것이다. Black Basta의 내부 채팅 유출로 그룹 내 분열이 확인되었으며, 이로 인해 활동이 감소하는 현상이 관찰되었다. 또한 Operation Phobos Aetor를 통한 Phobos 랜섬웨어 갱단 용의자 체포와 8Base 사이트 압수는 랜섬웨어 생태계에 상당한 타격을 주었다.
(2) 주요 랜섬웨어 그룹 동향
- Anubis
새로운 랜섬웨어 그룹으로 등장하여 4개 기업에 대한 공격을 주장하고 다층적 수익 모델 구조를 운영하고 있다. 또한 미국 카지노 리조트 Two Kings Casino에 대한 공격을 예고했다. 운영자들은 RAMP 포럼(‘superSonic’), XSS 포럼(‘Anubis__media’), X에서 활동하며 모든 게시글이 러시아어로 작성된 점을 보아 운영자가 러시아권 출신일 가능성이 높다.
이 그룹은 RAMP에서 새로운 형식의 제휴 프로그램을 공개했으며, 기존 RaaS 외에도 데이터 랜섬(Data Ransom) 및 접근 권한 수익화(Access Monetization) 등 다층적 수익 모델을 갖고 있다고 밝혔다. 이것은 랜섬웨어 운영의 비즈니스 모델 고도화를 보여준다.
- Black Basta
2025년 2월 11일, 랜섬웨어 갱단 Black Basta의 내부 Matrix 채팅 로그가 대규모로 유출되었다.
유출 이유는 밝혀지지 않았으나, Black Basta가 러시아 은행을 공격한 것과 관련이 있을 가능성이 높다고 분석되기도 했다. 유출된 채팅 기록에는 2023년 9월 18일부터 2024년 9월 28일까지의 Black Basta 내부 채팅 내용이 포함되어 있다.
Black Basta는 2022년 4월에 등장한 랜섬웨어 서비스(RaaS) 그룹으로, 세계적으로 수많은 주요 기업을 공격하고 1억 달러의 랜섬 머니를 갈취한 바 있다. Black Basta는 올해 초부터 내부 갈등으로 인해 대부분 활동을 중단했고, 일부 운영자가 피해자로부터 랜섬 머니를 받았으나 복호화 키를 제공하지 않는 등 사기 행위를 벌였다고 언급되기도 했다. 이번 유출은 2022년 Conti 랜섬웨어 그룹의 내부 채팅 및 소스 코드 유출과 유사한 패턴을 보이고 있다.
- Cl0p
가장 체계적인 활동을 보이고 있는 그룹으로, 182개 CLEO 피해 기업 목록을 정기적으로 업데이트하며 공격 관리를 고도화했다. 일본의 다국적 자동차 부품 제조기업 Marelli Holdings를 포함한 글로벌 제조업체들을 지속적으로 표적화하고 있어 공급망 교란 전략을 추구하는 것으로 분석된다.
- Fog
피해 기업의 GitLab 소스코드 유출 공격으로 전환했으며, 데이터 공개 시 피해 기업의 IP를 노출하는 방식을 도입하는 등 기술적 진화가 두드러졌다. 베트남의 IT 아웃소싱 기업 VMO Holdings 공격은 아시아 지역 IT 서비스 공급망을 노리는 의도를 보여준다.
- Kraken Group
새로운 랜섬웨어 그룹으로 과거 HelloKitty 그룹이 Kraken Group의 DLS를 운영하는 것으로 보인다. 미국 내 3개 기업을 새로운 피해자로 게시 및 데이터를 유출했다.
- Lockbit
FBI 국장 Kash Patel에게 공개 메시지를 DLS에 게시하는 등 과시적이고 도발적인 커뮤니케이션 전략을 유지했다. 이러한 행동은 법 집행 기관과의 직접적 대결 구도를 형성하려는 의도로 해석된다.
- Medusa
공공 부문을 적극 공격하는 패턴을 보이며, 미국 아칸소주 Benton 경찰서와 영국의 헬스케어 기업 HCRG Care Group을 표적화했다. 이는 사회 기반 서비스를 우선적으로 공격하는 전략적 접근으로 분석된다.
- RansomHub
가장 광범위한 지역 및 산업군을 대상으로 활동하는 그룹으로 파키스탄(Macter), 아랍에미리트(NAGA Architects), 대만(Transcend Information, Inc.), 남아프리카(SAWS), 독일(Escada) 등 5개 대륙에 걸친 공격을 수행했다. 이는 지역적 특화 없이 취약성 기반의 기회주의적 공격 패턴을 보여준다.
- Run Some Wares
신규 랜섬웨어 갱단으로 미국과 태국 소재 4개 기업(소매업, 투자 자문사, 제조업, 회계 서비스)에 대한 공격을 주장했다.
(3) 산업별 피해 동향
- 제조업 분야
