2025년 3월 딥웹 & 다크웹 동향보고서

알림

 

2025년 3월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Data Breach, DarkWeb, CyberAttack, Threat Actor내용으로 구성되어 있다. 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.

 

 

 

주요 이슈
 

 

 

1)     Ransomware

 

 

(1) 개요
 

 

2025년 3월, 랜섬웨어 생태계는 새로운 위협 그룹의 등장과 기존 그룹들의 활발한 활동이 두드러졌다. 특히 Chaos, RALord, Arkana Security, SecP0, 0X Thief, Frag, Crazy Hunter Team, Weyhro, VanHelsing, Nightspire 등 다수의 신규 랜섬웨어 그룹이 출현하며 랜섬웨어 위협의 다변화가 가속화되었다.

 

주목할 만한 특징은 공격 대상이 다양한 산업군으로 확대되는 가운데, 정부 기관 및 주요 인프라를 노린 공격이 증가했다는 점이다. 미국 볼티모어 시 검찰청, 우크라이나 외교부, 아르헨티나 국방부 산하 국영 방산 기업 등 주요 정부 기관들이 랜섬웨어 피해자로 등장했다.

 

기술적 측면에서는 EDR(Endpoint Detection and Response) 회피 기법이 고도화되고 있으며, 특히 Akira 랜섬웨어의 웹캠을 이용한 EDR 우회 기법과 Hellcat 랜섬웨어의 암호화 통신 은폐 시도 등 탐지 회피 기술이 발전하고 있다. 또한 PE32 랜섬웨어는 AES-256 CTR, ML-KEM, Kyber1024, RSA-4096을 결합한 고도한 암호화 기법을 도입하는 등 암호화 기술 역시 진화하고 있다.

 

 

(2) 주요 랜섬웨어 그룹 동향
 

 

•  Chaos

 

 

신규 랜섬웨어 그룹으로, 미국 소재 4개 기업에 대한 공격을 주장했다. 공격 방식과 표적 선정에 있어 체계적인 접근을 보이며, 단기간에 여러 기업을 공격하는 전략을 구사하고 있다.

 

 

 

•  Hellcat

 

 

Pastebin과 FileHosting 서비스를 통해 새로운 샘플이 유포된 사례와 암호화 통신을 은폐하려고 로그를 삭제하는 시도가 관찰되었다. 미국의 차량 관리 솔루션 기업 *** LLC와 중국의 모바일 기기 제조업체 *** Holdings를 공격했으며, Jira 서버를 노린 글로벌 해킹 캠페인을 전개하고 있다. 또한 제로데이 취약점을 이용한 침해 가능성도 제기되었다.

 

 

• RansomHub

 

 

다기능 백도어 ‘Betruger’를 활용한 랜섬웨어 공격이 확인되었다. 주요 피해 기업으로는 한국의 자동차 도어 무빙시스템 제조업체, 일본의 산업 자동화 장비 제조사, 독일의 디젤 엔진 및 터보기계 제조 기업, 미국의 서핑 및 라이프스타일 브랜드, 인도네시아의 건축자재 및 소비재 유통 기업, 미국의 카지노 및 호텔 복합단지 등이 있다. EDRKillShifter와의 연계 정황도 포착되어 고도화된 공격 기법을 사용하는 것으로 보인다.

 

 

• KillSecurity

 

 

일본의 문서 관리 솔루션 제공 기업 ***era의 유럽 지역 법인과 인도의 제약회사 *** Limited를 공격했다. 금융 기관을 노리기도 하는데, 케이맨 제도의 금융 서비스 기업 *** National Bank에 대한 공격을 주장했다.

 

 

• Qilin

 

 

이번 달 가장 활발한 활동을 보인 그룹 중 하나로, 일본의 암 치료 전문 클리닉 우쓰노미야 중앙 클리닉, 스페인의 종합 병원 Los Madroños Hospital, 미국 오하이오주 클리블랜드 시 법원, 일본의 자동화 기기 전문 기업 *** Corporation, 미국의 통신 솔루션 제공업체 ***, 우크라이나 외교부, 미국의 자동차 판매 그룹 *** Auto Group, 미국 텍사스주의 지방자치단체 Gaines County 등을 공격했다. 그룹의 러시아 소재 FTP 서버가 홍콩으로 이전되는 것이 확인 되었으며 이러한 인프라 이전 감지로 보아 운영 인프라를 변경 중인 것으로 보인다.

 

 

• Medusa

 

 

2021년에 처음 알려진 이 그룹은 지금까지 미국 주요 인프라 300여 개 기관을 공격했다.1 최근에는 미국 오로라(Aurora)시를 공격했으며 특히 공공 부문과 핵심 인프라를 집중적으로 노리는 패턴을 보이고 있다.

 

 

• CL0P

 

 

미국의 멀티클라우드 솔루션 제공업체 *** Technology, 일본의 자동차 부품 제조업체 *** Holdings, 미국 대형 주거 개선 소매업체 The Home ***의 멕시코 지사 등을 공격했다. 지속적으로 글로벌 기업을 표적으로 삼는 전략을 유지하고 있다.

 

 

• Anubis

 

 

기업 네트워크 접근 권한을 가진 파트너 모집 활동을 전개하며 조직 확장에 나서고 있다. BlackPanther, Louis 랜섬웨어 계열과의 활동 연관성도 포착되었다.

 

 

• Babuk v2

 

 

베트남 국방부, 대한민국 국방부, 중국 최대 온라인 쇼핑 플랫폼 타오바오 등을 대상으로 공격을 주장했다. 그러나 유출 데이터 재활용 사례가 확인되어, 실제 침해 여부는 검증 필요하다. 또한 인도 국방부에 대한 공격도 주장했으나 허위 주장 가능성이 제기되었다.

 

 

(3) 산업별 피해 동향
 

 

 

• 제조업 분야

 

 

제조 부문은 이번 달에도 가장 많은 피해를 입은 산업군으로, 전체 공격의 약 35%를 차지했다. 특히 자동차 부품 제조 기업(P**, *** Holdings, *** Auto Products), 산업 자동화 장비(*** Ltd., *** Corporation), 전자 부품(***sumi, *** Thailand) 등 다양한 제조 분야가 표적이 되었다. 아시아 지역 제조업체들이 특히 많은 피해를 입었는데, 이는 글로벌 공급망 교란을 목표로 하는 전략적 공격 패턴으로 분석된다.