2023년 6월 미국 사이버보안 및 인프라 보안국(CISA)이 발표한 공동 권고에 따르면, 세계에서 가장 많은 랜섬웨어 조직인 Lockbit은 2020년 이후 9,100만 달러의 몸값을 받은 것으로 나타났습니다. 지난 6개월 동안에만 영국의 로열 메일, SpaceX의 공급업체, 미국 최대 치과 보험사인 MCNA Dental의 약 900만 명의 고객, 그리고 6월 초에는 세계 최대 지퍼 제조업체가 이 랜섬웨어의 피해자가 되었습니다.
분석 기준 TRM Labs 의 분석에 따르면, 피해자들로부터 수백만 달러를 갈취하는 락빗과 다른 대규모 랜섬웨어 그룹은 가상자산 취급하는 전문 온라인 마켓플레이스에서 저렴하게 구매한 훔친 데이터에 의존하는 것으로 나타났습니다. 이러한 플랫폼에서 해킹된 '양질의' 계정 인증 정보는 최소 10달러에 구입할 수 있습니다.
온체인 활동에 대한 TRM 분석 결과, 2023년 2월, 락빗은 MCNA Dental을 침해하기 직전에 저장된 데이터와 특정 기기 세부 정보를 포함하여 훔친 웹 브라우저 정보로 구성된 이른바 "스틸러 로그"의 다크넷 공급 업체인 Russian Market에 비교적 적은 금액을 두 차례 입금한 것으로 나타났습니다. 입금 규모를 고려할 때, 이러한 지불을 통해 Lockbit은 100개 이상의 유출된 계정에 대한 데이터를 확보할 수 있었을 것으로 보입니다.
이 결제는 LockBit이 악성 활동을 수행하기 위해 러시아 마켓과 같은 타사 온라인 마켓플레이스에서 손상된 데이터를 구매할 가능성이 높다는 것을 나타냅니다.
아래 그래프에서 볼 수 있듯이, 랜섬웨어 피해자로부터 돈을 받은 LockBit 결제 주소는 제휴사 주소와 개발자 주소 두 곳으로 자금을 송금합니다. 랜섬웨어 계열사는 랜섬웨어(RaaS) 플랫폼에 대한 액세스를 임대하는 기업을 말합니다. 랜섬웨어 개발자는 악성 소프트웨어를 개발하고 유지 관리합니다.
제휴사가 자금의 80%를 받고 개발자가 나머지 20%를 받는 이 거래소에서 관찰되는 분석은 개발자/제휴사 관계에서 흔히 볼 수 있는 구조입니다. 이 경우 제휴사 주소는 계정을 보충하기 위해 러시아 마켓으로 자금을 보냅니다.
2022년에 출시된 러시아 마켓은 사용자에게 특정 조직을 위해 도난당한 자격 증명을 사전 주문할 수 있는 기회를 제공합니다. 플랫폼의 계정에 최소 1,000달러의 잔액을 유지하는 고객은 타겟팅하려는 도메인 목록을 제출할 수 있습니다. 그러면 해당 도메인과 관련된 로그의 사용 가능 여부에 대한 사전 알림을 받게 됩니다. 이러한 고객에게는 지정된 도메인과 관련된 로그가 더 많은 시장에 공개되기 전에 해당 도메인에 대한 로그에 대한 조기 액세스 권한이 부여됩니다. 이 서비스에는 어떠한 보장도 제공되지 않지만 이 기능을 통해 사이버 범죄자는 기회주의적 공격에서 보다 집중적이고 표적화된 공격으로 나아갈 수 있습니다. 2022년 11월과 2023년 1월에 LockBit은 서비스 사용을 나타내는 최소 요구 잔액보다 크거나 같은 금액으로 거래를 진행했습니다.
TRM의 온체인 조사에 따르면 락빗은 2022년 11월부터 매월 러시아 마켓으로 자금을 송금했으며, 이는 데이터 구매를 위한 것으로 추정됩니다. 2022년 11월과 2023년 1월에 락빗은 서비스 사용을 나타내는 최소 요구 잔액보다 크거나 같은 금액으로 거래를 진행했습니다.
도난당한 계정 인증 정보를 판매하던 초대 전용 온라인 마켓인 제네시스(Genesis) 마켓이 폐쇄된 후, 러시아 마켓의 인기가 급상승했습니다. 다크웹 포럼에서는 제네시스(Genesis)가 사라진 후 로그를 구매할 수 있는 대체 소스에 대한 논의가 활발하게 이루어지고 있습니다.
현재 러시아 마켓과 2easyShop이 이 시장의 주요 경쟁자입니다. 그러나 인기 있는 사이버 범죄 포럼에 따르면 2easyShop은 사이버 범죄자들 사이에서 부정적인 평판을 얻고 있으며, 이들은 이 사이트를 스캠 활동으로 비난하고 있습니다. 포럼에 따르면 2easyShop의 열악한 고객 지원과 저품질 데이터로 인해 구매 로그가 유효하지 않아 제네시스(Genesis) ) 사태 이후 러시아 시장에서 유리한 고지를 점할 수 있었다고 합니다.
제네시스(Genesis)가 사라진 이후 러시아 시장이 큰 관심을 받고 있으며 사이버 범죄 포럼에서 언급이 급증하고 있습니다. 또한, 유사 제품 판매를 용이하게 하는 전용 텔레그램 채널도 증가했습니다. 결국, 제네시스(Genesis) ) 사건은 한 개체를 제거하면 또 다른 개체가 출현하는 하이드라 효과를 촉발시켰습니다. 한 가지 확실한 것은 랜섬웨어 행위자들의 수요가 있는 한, 시장 점유율을 차지하기 위해 이들을 지원하는 비즈니스가 계속 확산될 것이라는 점입니다.
2023년 6월 15일, 미국 법무부는 록빗에 대한 업데이트에서 수많은 록빗 랜섬웨어 및 기타 사이버 공격 배포에 관여한 혐의로 러시아 국적의 루슬란 마고메도비치 아스타미로프를 기소한다고 발표했습니다. 고소장에 따르면, 락빗 공격자들은 미국과 전 세계 피해자들을 대상으로 1,400건 이상의 공격을 실행했으며, 1억 달러 이상의 몸값을 요구하고 비트코인으로 최소 수천만 달러의 실제 몸값을 받았습니다. 적어도 한 가지 상황에서 법 집행 기관은 피해자의 몸값 중 일부를 아스타미로프가 통제하는 가상 화폐 주소로 추적할 수 있었습니다.
이번 발표는 뉴저지 지방검찰청에서 두 건의 다른 사건에서 락비트 관련 기소를 한 데 이은 것입니다. 2022년 11월, 법무부는 현재 캐나다에 구금되어 미국으로의 범죄인 인도를 기다리고 있는 러시아와 캐나다 이중국적자 미하일 바실리에프에 대한 형사 기소를 발표했습니다. 2023년 5월, DOJ(미국 법무부) 는 미하일 파블로비치 마트베예프가 미국과 해외의 피해자들을 대상으로 록빗, 바북, 하이브 랜섬웨어 변종을 배포하기 위한 별도의 음모에 가담한 혐의로 기소했다고 발표했습니다.
이 사건은 미국 연방, 주, 글로벌 협력 및 조정의 또 다른 좋은 예입니다. DOJ(미국 법무부), FBI, 저지 시티 경찰국, 뉴저지 주 경찰, 국세청 IRS, 유로폴 유럽 사이버 범죄 센터, 유로저스트, 일본 경찰청, 프랑스 헌병대 국립 사이버 공간 사령부, 영국 국립 범죄청 및 사우스 웨스트 지역 조직 범죄 부서, 스위스 취리히 칸톤폴리제이, 독일 슐레스비히홀슈타인 주 및 분데스크리미널암트, 스웨덴 스웨덴 경찰청의 공조와 협력의 사례입니다.
트론, 솔라나 및 기타 23개 블록체인에 대한 보도 내용을 확인하세요.
양식을 작성하여 조사 전문 서비스에 대해 저희 팀과 상담하세요.
