주요 결과
Conti 그룹 멤버들의 유출된 비공개 메시지, 오픈 소스 보고, TRM 조사관들의 급여 관련 주소에 대한 온체인 조사 등을 분석한 결과, 두 랜섬웨어 그룹인 Conti와 Ryuk의 연관성이 밝혀졌습니다. 콘티와 류크는 모두 위자드 스파이더 사이버 범죄 그룹의 일원으로 보이며, 트릭봇 봇넷을 담당하고 있는 것으로 보입니다.
- 온체인 조사 결과, Conti 핵심 멤버가 지불한 급여 자금이 알려진 류크 랜섬웨어 주소에서 파생된 것으로 나타났을 뿐만 아니라 코드의 유사성 및 기타 요인으로 미루어 볼 때 Conti는 류크 랜섬웨어 리브랜딩으로 추정됩니다. 이러한 리브랜딩 전술은 랜섬웨어 조직이 흔적을 감추기 위해 사용하는 것으로 널리 알려져 있으며, 블리핑컴퓨터가 설명한 바와 같이 랜섬웨어 신디케이트가 사용합니다.
- 2022년 2월 27일, Conti의 인프라에 내부적으로 접근할 수 있는 것으로 보이는 개인이 내부 채팅에서 약 16만 개의 메시지와 1년 이상의 Conti 운영을 조명하는 기타 데이터를 유출하여 신디케이트의 생태계와 피해자를 갈취하고 그룹 활동에 자금을 지원하는 데 사용된 수백 개의 가상자산 주소가 밝혀졌습니다. 더레코드를 비롯한 위협 인텔리전스 커뮤니티에서 유출이 Conti 인프라에서 발생한 것으로 확인되었습니다.
- 이번 유출은 러시아의 우크라이나 침공에 대한 대응책으로 러시아 인프라가 공격받을 경우 전 세계를 공격 작전으로 위협하겠다는 콘티의 공식 성명을 발표하면서 촉발되었습니다.
배경
2018년 중후반부터 활동한 Ryuk 랜섬웨어 수백만 달러의 손실을 초래한 수많은 랜섬웨어 공격의 원인이었습니다. 몇 년 동안 위협 인텔리전스 커뮤니티는 코드 및 기타 요소의 유사성을 바탕으로 Ryuk 랜섬웨어 Conti 랜섬웨어 모두 CrowdStrike에서 Wizard Spider로 식별한 단일 그룹에 의해 운영된다고 의심해 왔습니다.
위협 인텔리전스 업체인 AdvIntel에 따르면 2020년 5월경에 류크가 콘티로 이름을 바꾼 것으로 추정되는 랜섬웨어 계속해서 더 파괴적인 활동을 이어갔고, 결국 2021년 말에 트릭봇 봇넷을 운영하는 그룹과 합병되었습니다. 트릭봇은 2016년에 사용자 자격 증명과 개인 식별 정보(PII)를 훔치도록 설계된 뱅킹 트로이 목마로 처음 등장했습니다. 그 후 이 봇넷은 인증 정보 수집, 가상자산 채굴, 랜섬웨어 배포를 위한 피해자 시스템에 대한 발판 확보로 기능을 확장했습니다.
트릭봇과 위자드 스파이더의 류크는 처음에는 BaaS(서비스형 봇넷) 모델을 따랐으며 류크가 콘티로 브랜드를 변경한 후 파트너십 관계로 발전했습니다. 트릭봇과 협력하면서 콘티는 빠르게 가장 수익성이 높고 많은 랜섬웨어 신디케이트 중 하나가 되었습니다. 크라우드소싱 랜섬웨어 사이트 ransomwhe.re를 운영하는 위협 연구자 잭 케이블은 2021년 중반까지 가장 수익성이 높은 그룹이 Conti일 것으로 예상했습니다.
콘티, 러시아를 지원하며 위협을 제기하다
최상위 다크웹 포럼에서 관찰된 대화에 따르면, 러시아의 우크라이나 침공과 계속되는 군사 분쟁으로 인해 러시아어를 사용하는 사이버 범죄자 커뮤니티가 분열되었습니다. 다크웹 채팅에서 랜섬웨어 위협 행위자를 포함한 많은 사이버 범죄자들은 특정 편을 지지하는 목소리를 냈고, LockBit2.0과 같은 다른 사이버 범죄자들은 중립을 유지하려고 노력했습니다. 2022년 2월 25일, 콘티는 러시아 국가에 대한 지지를 공개적으로 표명하고 공식 갈취 사이트에 러시아 인프라가 공격받을 경우 공격 작전으로 반격하겠다고 밝히며 '서방 세계'에 대한 위협을 게시했습니다.
콘티의 공식 성명 발표 직후인 2022년 2월 27일, 콘티의 인프라에 대한 내부 접근 권한을 가진 것으로 보이는 개인이 트위터를 통해 약 16만 개의 메시지로 구성된 내부 채팅 로그를 유출하여 1년여 동안의 콘티의 운영 방식에 대해 밝혀냈습니다. 채팅을 유출한 개인은 온라인 트윗을 통해 러시아의 우크라이나 침공에 대한 콘티의 지지에 대한 보복으로 이 같은 일을 저질렀다고 주장했습니다. 유출된 정보에는 수백 개의 가상자산 주소도 포함되어 있었는데, 이는 피해자를 갈취하고 그룹 구성원들의 급여와 같은 서비스 비용을 지불하기 위해 이 그룹의 불법 활동에 사용된 것으로 보입니다. 유출이 Conti 인프라에서 발생한 것으로 확인된 것은 더레코드를 비롯한 위협 인텔리전스 커뮤니티에 의해 확인되었습니다.
위자드 스파이더, 콘티, 류크 연결하기
Conti 유출 사건, 특히 급여 지급과 관련된 유출된 메시지 내의 정보와 온체인 자금 흐름을 분석한 결과, 위자드 스파이더의 운영에 대한 독특한 인사이트를 발견할 수 있었습니다. TRM 분석가들은 대부분의 랜섬웨어 신디케이트와 달리 Conti는 기존 RaaS랜섬웨어 그룹이 사용하는 비율 기반 제휴 모델에 더해 임금 기반 직원 모델을 구현한다는 사실을 발견했습니다.
TRM 온체인 분석을 통해 2020년 7월 14일에 논의된 지불 내역이 확인되었습니다. 이 채팅에는 콘티의 인사 담당 위협 행위자인 '살라만드라'와 위자드 스파이더의 선임 팀원인 '스턴'이 '보넨'이라는 채용 후보자에 대해 논의하는 모습이 담겨 있습니다. 20년 경력의 코더인 보넨은 월 15만 루블(당시 약 2,112 달러)의 급여로 채용되었습니다. 또한 보넨은 테스트 과제를 완료한 대가로 15,000루블(약 207달러)을 지급받았습니다. 이 거래는 TRM 온체인 분석을 통해서도 확인되었습니다.
또한, 온체인 조사를 통해 스턴이 "망고"라는 가명으로 활동하는 콘티 팀 중 한 팀의 팀장에게 8만 5,000달러를 거래 사실도 확인했습니다. 이 거래 망고 팀의 급여를 지급하기 위해 이루어졌습니다. 유출된 정보에 따르면 망고는 2021년 7월 19일 스턴에게 거래 요청했고, 이 자금은 펜테스터, 코더, OSINT 조사관, 리버스 엔지니어로 구성된 약 100명의 팀원들에게 나눠서 지급되었습니다. 스턴과 망고 사이의 대화에 따르면 자금 중 일부는 서버에 대한 지불과 신규 채용자를 위한 테스트 과제로도 배정되었습니다.
추가 조사 결과, 앞서 언급한 스턴에서 망고로 지불된 자금은 2019년 1월 CrowdStrike가 보고한 알려진 류크 랜섬웨어 주소에서 파생된 것으로 확인되었습니다. 이 금융 거래는 오랫동안 의심되어 온 류크와 콘티의 관계를 확인하는 것으로 보이며, 랜섬웨어 조직이 흔적을 감추기 위해 널리 채택하고 있는 리브랜딩 전술을 강조한다고 블리핑컴퓨터는 설명했습니다. 그러나 브랜드 변경에도 불구하고 이 그룹이 수행한 가상자산 금융 거래는 흔적을 남기며, 이는 TRM이 보여주는 것처럼 밝혀질 수 있습니다.
또한, 위자드 스파이더는 법 집행 기관과 연구자들의 가상자산 추적을 피하기 위해 내부 블록체인 플랫폼과 자체 토큰 개발을 시도할 팀을 구성하는 중이라는 사실도 채팅을 통해 밝혀졌습니다.
스턴은 2021년 6월 28일 팀원들에게 "우리는 이더리움, 폴카닷, 바이낸스(Binance) ) 스마트체인과 같은 자체 암호화폐 시스템을 만들고 싶다"고 말했습니다. "우리는 원칙, 코드 등을 연구하고 이를 바탕으로 구축할 수 있어야 합니다. 그런 다음 NFT, 디파이(Defi), DEX, 그리고 기존 및 향후 모든 트렌드를 통합할 수 있을 것입니다."라고 덧붙였습니다.
"우리 중 블록체인과 트렌드에 대해 전문가라고 생각하는 사람이 있을까요? 우리가 발전시킬 수 있는 방향에 대해 아는 사람 있나요?"라고 스턴은 2021년 7월 8일에 계속 말했습니다. 스턴의 가상자산 대한 열망은 망고와 같은 다른 위협 행위자들의 열의에 미치지 못했습니다: "이것은 훌륭한 아이디어이지만 동시에 매우 복잡합니다. 현실을 직시하자, 우리는 경험과 자원이 너무 부족해 혼자서는 감당할 수 없습니다."
블록체인 프로젝트가 아직 개발되지 않았음에도 불구하고 가상자산 디파이(Defi) ) 분야로 확장하려는 위협 행위자들의 관심은 상당한 우려를 불러일으킵니다. 채팅 내용을 바탕으로 위자드 스파이더의 전반적인 목표는 위협 행위자 친화적인 블록체인 제품을 만드는 것입니다. TRM은 지하 사이버 범죄에 내부적으로 통제되는 결제 환경뿐만 아니라 추가적인 수익원을 제공할 수 있을 것으로 높은 수준의 확신을 가지고 평가하고 있습니다.
여전히 위협이 될 가능성이 있는 마법사 거미
TRM은 위자드 스파이더가 2월 초에 높은 탐지율과 콘티의 내부 정보 유출로 인해 오랫동안 사용하던 트릭봇 툴을 단계적으로 중단하는 등 최근의 차질에도 불구하고 계속해서 심각한 위협이 될 것으로 평가합니다. 위자드 스파이더는 빠르게 활동을 재개하여 2022년 3월 2일에 첫 번째 피해자를 강탈 사이트에 게시했습니다. 2022년 3월 23일 기준으로 이 신디케이트는 총 41명의 피해자를 공개했으며, 그 중 22명은 미국 법인입니다. 이 피해자들은 유출 이전에 위자드 스파이더에 의해 침해를 당했을 가능성이 높으며, 그 이후로 이 조직이 새로운 피해자를 확보할 수 있었는지 여부는 불분명합니다.
TRM 분석가들은 위자드 스파이더의 지속적인 활동 수준과 게시된 메시지를 추적한 결과, 이 그룹이 가까운 시일 내에 운영 역량을 완전히 회복할 가능성이 높으며 브랜드를 변경하지 않고 동일한 이름으로 계속 운영할 것으로 평가하고 있습니다. 다른 주요 랜섬웨어 조직이 공개적으로나 다크웹에서 중요 인프라를 표적으로 삼지 않는다고 밝힌 것과 달리, Conti/Ryuk은 보건복지부 보고서 "Conti 랜섬웨어 의료 부문"에서 언급했듯이 코로나19 팬데믹 기간에도 의료 시스템을 계속 표적으로 삼았습니다.
독점 정보원에 따르면 다른 랜섬웨어 그룹들은 프로그래머, 협상가 등의 직원 부족으로 인해 접근 권한을 획득한 모든 기관을 따라잡거나 효과적인 접근 파이프라인을 개발하는 데 어려움을 겪고 있다고 합니다. TRM 분석에 따르면 콘티가 채용에 집중하는 것은 산업적 규모로 조직을 운영하기 위한 노력의 증거로 볼 수 있으며, 이를 통해 자체적으로 멀웨어에 대한 액세스 권한을 확보하고 배포하여 수년 동안 수억 달러의 피해금을 지급할 수 있게 되었습니다.
콘티의 채용 프로세스는 지원자의 기술 수준을 측정하기 위한 면접과 시험 과제로 구성됩니다. 그룹의 인사 담당자인 위협 행위자 '살라만드라'는 신입 직원을 유치하기 위해 다크 웹 포럼부터 러시아 상업용 구인 사이트 hh[.]ru에 이르기까지 다양한 리소스를 활용합니다.
채팅에 따르면 위협 행위자의 평균 급여는 한 달에 2,000달러에 육박합니다. 이 급여는 살롱익스플로러[.]닷컴에 따르면 러시아 IT 업계의 평균 급여보다 2배 가까이 높지만, 위자드 스파이더가 피해자들로부터 받은 수백만 달러에 비하면 낮은 보상으로 보일 수 있습니다. 수입의 상대적으로 적은 비율을 급여로 지출할 수 있다는 점이 위자드 스파이더의 핵심 멤버들이 현재 대부분의 다른 랜섬웨어 그룹이 선호하는 수익 공유형 랜섬웨어 아닌 정규직 직원을 선호하는 이유 중 하나일 수 있습니다.
Outlook
TRM은 이번 합의에 대한 다른 위협 행위자들의 의견을 파악하기 위해 다크웹에서 유출된 채팅에 대한 토론을 모니터링하고 있습니다. 독점적인 소식통에 따르면 과거에 다크웹의 프로그래머들은 부트랩 유출 사건에서처럼 악성코드로 인한 수익의 일부를 충분히 지급받지 못했다고 생각되면 보복 차원에서 악성코드의 소스 코드를 유출한 적이 있습니다.
TRM 분석가들이 수행한 연구는 자금 흐름을 추적하는 것이 사이버 범죄 조직의 운영을 이해하는 데 얼마나 중요한지 보여줍니다. 가상자산 랜섬웨어 수년간 성공적인 운영을 가능하게 하고 위협 행위자의 노력에 대해 높은 수준의 투자 수익을 제공했지만, TRM 블록체인 분석 도구를 사용하면 자금 흐름을 추적하고 점들을 연결하는 데 도움이 되는 귀중한 인텔리전스를 발견할 수 있습니다. TRM은 콘티 랜섬웨어 인한 위험을 완화하기 위해 위자드 스파이더의 활동을 온/오프체인 모두에서 지속적으로 모니터링합니다 랜섬웨어
위자드 스파이더가 러시아 국가를 지지하고 정치적 의제를 공유한다고 밝힌 점과 과거 중요 인프라를 표적으로 삼았던 점을 고려할 때, 이 조직은 그 정교함으로 인해 국가 안보에 위협이 될 수도 있습니다.
정보 TRM Labs
TRM은 금융기관, 가상자산 사업자, 공공기관이 가상자산 사기 및 금융 범죄를 탐지, 조사, 관리할 수 있도록 블록체인 인텔리전스 제공합니다. TRM의 위험 관리 플랫폼에는 거래 모니터링 및 지갑 심사, 가상자산사업자(VASP) ) 실사를 포함한 법인 위험 점수, 자금의 출처 및 목적지 추적을 위한 솔루션이 포함되어 있습니다. 이러한 도구를 통해 전 세계적으로 빠르게 성장하는 조직 집단이 가상자산 거래, 상품, 파트너십을 안전하게 수용할 수 있습니다.
TRM은 캘리포니아주 샌프란시스코에 본사를 두고 있으며 엔지니어링, 제품, 영업 및 데이터 과학 분야에서 채용을 진행하고 있습니다. 자세한 내용은 www.trmlabs.com 에서 확인하세요 .
글로벌 조사팀에 단서를 신고하려면 이메일( investigations@trmlabs.com)로 문의하세요.
출처:
- hxxps://www[.]zdnet[.]com/article/conti-ryuk-joins-the-ranks-of-ransomware-gangs-operating-data-leak-sites/
- hxxps://www[.]bleepingcomputer[.]com/news/security/conti-ransomware-shows-signs-of-being-ryuks-successor/
- hxxps://therecord[.]media/conti-ransomware-gang-chats-leaked-by-pro-ukraine-member/
- hxxps://www[.]techrepublic[.]com/article/top-5-ransomware-operators-by-income/
- hxxps://www[.]bleepingcomputer[.]com/news/security/us-targets-darkside-ransomware-and-its-rebrands-with-10-million-reward/
- hxxps://www[.]hhs[.]gov/sites/default/files/conti-ransomware-health-sector.pdf
트론, 솔라나 및 기타 23개 블록체인에 대한 보도 내용을 확인하세요.
양식을 작성하여 조사 전문 서비스에 대해 저희 팀과 상담하세요.
