2025년 4월 딥웹 & 다크웹 동향보고서

알림

 

2025년 4월 딥웹 & 다크웹의 간추린 동향 보고서는 Ransomware, Data Breach, DarkWeb, CyberAttack, Threat Actor 내용으로 구성되어 있다. 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.

 

 

주요 이슈
 

 

 

1)     Ransomware

 

 

 

(1) 개요
 

 

2025년 4월, 랜섬웨어 생태계는 새로운 그룹의 등장과 기존 그룹의 리브랜딩 및 전술 변화가 두드러졌다. RALord의 NOVA로의 리브랜딩, Gunra, Silent Team, BERT, Devman, Crypto24와 같은 신규 그룹의 등장이 활발했다. 특히 DragonForce가 화이트라벨 (White-label) — 제품이나 서비스를 만든 쪽의 이름은 숨기고, 다른 브랜드 이름으로 판매하거나 제공하는 방식 — 모델을 도입하며 RansomBay RaaS 프로그램을 재출시한 점이 주목할 만하다. Qilin은 급부상하며 전방위 산업을 겨냥한 정밀 공격을 수행했고, 말레이시아 공항 운영사, 피지의 건축자재 유통기업, 대한민국 대기업 등을 대상으로 활발한 공격을 전개했다.

 

 

산업별로는 제조, 물류, 금융, IT, 공공기관 등 다양한 분야가 표적이 되었으며, 글로벌 보안 기업들의 인프라도 공격받았다. 지역적으로는 아시아 태평양 지역과 중동이 새로운 중점 공격 대상으로 부상했다. 기술적으로는 AI 기반 공격 전술의 확산과 CrushFTP 서버 취약점, Windows CLFS 제로데이 취약점 악용, ClickFix 수법을 통한 위장 IT 도구 배포 등 다양한 침투 기법의 진화가 관찰되었다. 또한 이중 갈취형 공격 전략과 내부자 협력 유도 전략 등 새로운 수익 모델이 확산되고 있다.

 

 

 

(2) 주요 랜섬웨어 그룹 동향

 

 

• Akira
   

 

미국의 IT 서비스 전문 기업 H*** V***를 공격하여 서버를 오프라인으로 만들었다. 또한 싱가포르의 글로벌 보안 커뮤니케이션 및 인쇄 솔루션 기업 T*** N***와 싱가포르 호텔 체인 F*** Hotels and Resorts를 공격했다. DLS(Dedicated Leak Sites)에 기술적 문제가 있었으나 활동 지속을 선언했다.

 

 

 

• DragonForce

 

 

화이트라벨 모델로 랜섬웨어 카르텔을 확장하고 있으며, RAMP 포럼에서 RansomBay RaaS 프로그램을 재출시하며 운영 지원을 발표했다. 미국 오클라호마 주의 그로브 시와 자동차 딜러십 그룹 P*** Automotive Group을 공격했다. 4월 말, DLS 주요 인프라 장애가 발생했으며, 새로운 파일 서버로 이동하며 대규모 유출을 예고했다. 또한 RansomHub가 DragonForce의 다크웹 인프라로 이동한다고 발표하며 연계성을 보여주고 있다.

 

 

 

• Interlock

 

 

의료, 교육, 공공기관을 겨냥한 이중 갈취형 공격을 수행 중이다. 미국의 신장 투석 회사 D***와 실내 엔터테인먼트 운영 기업 A*** I*** K*** & G*** 등을 공격했다. ClickFix 수법으로 위장 IT 도구를 배포하여 시스템을 침해하는 고도화된 공격 기법을 활용했다.

 

 

 

• Medusa

 

 

2025년 재부상하며 AI 기반 공격 — AI 기술을 활용하여 정교한 피싱 이메일을 자동 생성하고, 수신자의 반응에 따라 후속 메일을 보내는 등 적응형 공격 — 전술을 확산시키고 있다. 미국의 모터스포츠 운영 기관 N*** 를 공격하는 등 높은 가시성을 가진 표적을 선정했다. 고도화된 AI 기술을 활용하여 방어 시스템을 우회하는 능력을 보여주고 있다.

 

 

 

• Qilin

 

 

가장 활발한 활동을 보인 그룹으로, 글로벌 대기업들을 연이어 공격했다. 말레이시아 공항 운영 회사 M*** A*** H*** Berhad, 피지의 하드웨어 및 건축 자재 유통 기업 R***, 미국의 모터 차량 제조업체 C*** LLC, 대한민국 대기업, 태국의 보안 장비 설치 전문업체 B***, 미국의 실리콘 웨이퍼 제조업체 H***, 싱가포르의 산업 장비 판매 및 임대 전문 기업 A***, 미국의 H*** 서비스 제공업체 A*** 등이 피해를 입었다. 전방위 산업을 겨냥한 정밀 타격 전략을 구사하며 급부상했다.

 

 

 

• RALord/NOVA

 

 

RALord가 NOVA로 리브랜딩 후 제휴 프로그램 운영을 시작했다. 사우디아라비아의 수처리 전문 기업 R***과 지주회사 A*** Group 등을 공격했다. 새로운 제휴 패널 NOVA를 도입하여 운영 방식을 고도화했으며, 중동 지역에 집중적인 공격을 수행했다.

 

 

 

• 신규 랜섬웨어 그룹

 

 

Gunra, Silent Team, BERT, Devman, Crypto24 등 새로운 랜섬웨어 그룹들이 등장했다. 특히 Crypto24는 베트남의 ICT 기업 C***을 공격했으며, Devman은 중국계 국영 건설 기업의 싱가포르 자회사 C***와 스페인의 패션 전문 온라인 쇼핑몰 F***를 공격했다. 신규 그룹들은 빠르게 기반을 다지며 다양한 지역과 산업을 타겟으로 하고 있다.

 

 

 

(3) 산업별 피해 동향
 

 

• 제조 및 물류 산업

 

 

일본의 글로벌 종합 물류 기업 K***가 랜섬웨어 공격으로 서버 장애 및 운영 차질을 겪었다. 미국의 모터 차량 제조업체 C***, 인도의 건강 및 개인 위생 제품 제조 기업 M***, 말레이시아의 물류 및 운송 기업 M*** 등이 피해를 입었다. 특히 글로벌 물류 기업들이 집중 타겟이 되었으며, 이는 공급망 혼란을 통한 효과적인 압박 전략으로 볼 수 있다.