랜섬웨어 여름: 여름: 공격이 뜨거워졌지만 전 세계의 대응도 뜨거워졌습니다.

올여름에는 통신부터 자동차에 이르기까지 다양한 기업에서 랜섬웨어 공격이 급증했습니다. 요약하자면 다음과 같습니다:

• 자동차 딜러를 위한 소프트웨어 솔루션을 제공하는 주요 업체인 CDK 글로벌과 거대 통신사 AT&T를 대상으로 한 랜섬웨어 공격.

• 보도에 따르면 두 사례 모두 몸값 지불은 가상자산 이루어졌으며, TRM을 통해 랜섬웨어 행위자로 알려진 자들을 추적했다고 합니다.

• 2021년 콜로니얼 파이프라인에 대한 분수령 공격 이후 랜섬웨어 유행에 대한 전 세계적인 대응이 이루어지고 있습니다.

• 암호화폐로 지불이 이루어지기 때문에 법 집행 기관은 블록체인 인텔리전스 사용하여 몸값 지불을 추적하고 LockBit과 같은 랜섬웨어 그룹을 방해할 수 있습니다.

{{horizontal-line}}

랜섬웨어 는 피해자의 파일을 암호화하여 액세스할 수 없게 만드는 악성 소프트웨어(멀웨어)의 일종입니다. 그런 다음 공격자는 데이터 액세스를 복원하는 데 필요한 암호 해독 키를 받는 대가로 일반적으로 가상자산 지불하는 몸값을 요구합니다. 랜섬웨어 피싱 이메일, 악성 다운로드 또는 소프트웨어의 취약점 악용을 통해 확산될 수 있습니다.

지난 몇 년 동안 랜섬웨어(RaaS)가 확산되면서 악의적인 공격자의 진입 장벽이 크게 낮아졌습니다. RaaS는 사이버 범죄자들이 사용하는 비즈니스 모델로, 기술적 지식이 없는 공격자들도 최소한의 노력으로 랜섬웨어 공격을 배포할 수 있습니다. 이 모델에서는 숙련된 랜섬웨어 개발자가 악성 소프트웨어를 만들어 제휴사에 제공하면, 제휴사는 이를 사용하여 공격을 실행합니다. 그 대가로 개발자는 몸값의 일부를 받습니다. RaaS의 주요 기능으로는 사용자 친화적인 인터페이스, 수익 공유, 지원 및 업데이트, 다크넷을 통한 익명성 및 접근성 등이 있습니다. RaaS 플랫폼의 예로는 ReVil, Darkside, LockBit 등이 있습니다.

랜섬웨어 공격과 승리로 바쁜 2024년

그럼 이번 여름에 어떤 일이 벌어질지 알아봅시다. 

CDK 글로벌

지난 6월, 자동차 딜러를 위한 소프트웨어 솔루션을 제공하는 주요 공급업체인 CDK 글로벌은 블랙수트 랜섬웨어 그룹의 소행으로 추정되는 랜섬웨어 공격을 두 차례 받았습니다. 이 두 번의 공격은 북미 전역의 수천 개의 자동차 대리점에 영향을 미쳐 차량 서비스, 판매, 재고 관리, 금융 애플리케이션과 같은 정상적인 업무 수행에 영향을 미쳤습니다. 

TRM의 글로벌 조사 책임자인 크리스 얀체브스키(Chris Janczewski)는 6월 21일에 약 387비트코인(약 2,500만 달러 상당)이 블랙수트라는 랜섬웨어 연계된 사이버 범죄자들이 관리하는 가상자산 계정으로 전송되었다고 CNN에 확인했습니다. 얀체프스키는 누가 돈을 보냈는지 밝히지 않았지만, CNN에 따르면 이 사건을 면밀히 추적한 다른 세 명의 소식통은 블랙수트 계열사에 약 2,500만 달러가 지급되었으며 CDK가 이 돈의 출처일 가능성이 매우 높다고 확인했다고 합니다.

AT&T

그리고 바로 지난주 AT&T는 해커들이 수천만 명의 고객 통화 기록을 도용했으며, 회사는 해킹 팀원에게 30만 달러 이상을 지불하고 데이터를 삭제하고 삭제 증거를 보여주는 동영상을 제공했다고 공개했습니다.

와이어드의 보도에 따르면, 악명 높은 샤이니헌터스 해킹 그룹의 일원인 해커가 몸값을 주고받은 가상자산 주소를 와이어드에 제공한 것으로 밝혀졌습니다. TRM의 얀체프스키는 와이어드에 약 5.72비트코인(거래 당시 373,646달러 상당)의 거래가 발생했으며, 이후 여러 가상자산 거래소와 지갑을 통해 돈이 세탁되었다고 확인했지만 지갑을 누가 관리했는지는 확인되지 않았다고 말했습니다.

의료 서비스 변경

이 외에도 2024년 상반기에는 의료 부문의 데이터 보안에 영향을 미치고 병원을 포함한 미국 전역의 약국을 마비시킨 Change Healthcare 익스플로잇을 비롯하여 여러 가지 유명한 랜섬웨어 및 사이버 공격이 발생했습니다. 이 공격을 수행한 랜섬웨어 그룹은 AlphV 또는 BlackCat으로 알려져 있으며, 공격 후 2,200만 달러의 거래를 받았습니다. TRM은 2,200만 달러가 지불된 비트코인 주소를 AlphV 해커에게 연결했고, 이 주소를 다른 두 명의 AlphV 피해자에게서 지불된 금액과 연결했습니다.

LockBit의 혼란

올해에도 성공 사례가 있었습니다. 2월에는 영국 국가범죄청, 미국 Department of Justice (DOJ(미국 법무부)), FBI, 유로폴은 악명 높은 랜섬웨어 그룹인 LockBit의 활동을 중단시키고 관련 웹사이트 인프라를 차단했다고 발표했습니다.

LockBit은 세계에서 가장 많은 랜섬웨어 그룹 중 하나입니다. 이 그룹은 랜섬웨어(RaaS) 모델을 사용하여 수천 건의 공격을 수행하고 피해자에게 가상자산 거액의 몸값을 갈취하는 등 전 세계 기업과 주요 인프라에 전례 없는 영향을 미쳤습니다 가상자산 온체인 분석을 통해 TRM은 락빗 관리자와 계열사가 관리하는 주소가 2022년 이후 1억 6천만 파운드(또는 2억 달러) 이상의 비트코인을 받았으며, 이 중 8천 5백만 파운드(또는 1억 1천만 달러) 이상이 여전히 여러 온체인 주소에서 사용되지 않은 것으로 추정하고 있습니다.

전 세계의 반응

2021년 콜로니얼 파이프라인에 대한 분수령이 된 공격 이후, 전 세계 정부의 대응이 있었습니다.

미국

미국 Department of Justice 국가안보 사이버 전담팀과 랜섬웨어 태스크포스팀을 구성하여 REvil, LockBit 등 랜섬웨어 조직 관련자들을 적극적으로 기소하고 체포했습니다. 미국 재무부는 랜섬웨어 결제를 용이하게 하는 것으로 밝혀진 러시아 기반 가상자산 거래소인 수엑스와 샤텍스에 대해 제재를 가한 바 있습니다. 또한 미국 및 전 세계 법 집행 기관은 다음과 같은 민간 부문 기관과 협력했습니다. TRM Labs 와 같은 민간 기관과 협력하여 프로젝트 IVAN과 같은 정보 공유 이니셔티브를 진행하고 있습니다.

유럽 연합

유럽 연합(EU) 은 회원국의 사이버 보안 역량 강화, 정보 공유 촉진, 랜섬웨어 대응을 위한 국경 간 협력 지원 등의 조치를 포함하는 포괄적인 사이버 보안 전략을 시행하고 있습니다. 또한 유럽 유럽 연합(EU) 사이버보안법은 유럽 전역의 디지털 제품 및 네트워크의 보안 향상을 목표로 사이버보안 제품 및 서비스 인증을 위한 프레임워크 수립하고 있습니다.

영국

영국은 랜섬웨어 공격을 방어하기 위해 조직에 지침, 지원 및 리소스를 제공하는 국가 사이버 보안 센터를 설립했습니다. 또한 영국의 전반적인 사이버 보안 태세를 개선하기 위해 업계 파트너와 협력하고 있습니다.

호주

호주 정부는 랜섬웨어 공격에 대한 처벌 강화, 사이버 보안 표준 강화, 정부와 민간 부문 간의 정보 공유 촉진 등의 조치가 포함된 랜섬웨어 행동 계획을 발표했습니다. 또한 호주는 정부, 업계, 학계 간의 협업을 촉진하기 위해 공동 사이버 보안 센터를 설립하여 위협 인텔리전스를 공유하고 랜섬웨어 대응하기 위한 전략을 개발하고 있습니다 랜섬웨어

국제 협업

미국은 랜섬웨어 대응 이니셔티브를 통해 다른 국가와 국제 연합을 구성하여 정보 공유, 조율된 법 집행 조치, 사이버 보안에 대한 글로벌 표준 수립을 통해 랜섬웨어 대응하기 위한 노력을 주도해 왔습니다. 또한 미국, 유럽, 영국은 랜섬웨어 위협에 대응하기 위해 G7 국가 및 NATO 동맹국과 협력하여 집단 방어와 공동 대응을 강조하고 있습니다. 또한 인터폴과 유로폴과 같은 기관은 랜섬웨어 네트워크를 교란하고, 정보를 공유하며, 랜섬웨어 운영자를 대상으로 한 작전을 지원하기 위해 국제 법 집행 노력을 조율하고 있습니다. 마지막으로 몸값 지불 측면에서는 2023년 10월, 40개국이 백악관이 주도하는 국제 랜섬웨어 대응 이니셔티브의 일환으로 사이버 범죄자에게 몸값을 지불하지 않겠다는 서약에 서명했습니다.

랜섬웨어 수익금 세탁

특히, 지난해 자금 세탁 및 테러 자금 조달 방지를 위한 국제 표준을 제정하는 국제자금세탁방지기구는 랜섬웨어 대한 최초의 전용 보고서를 발표하여 위협의 본질과 몸값 세탁 유형을 설명하고 각국의 대응 방법에 대한 권고안을 제시했습니다.

랜섬웨어 수익금 세탁과 관련하여 보고서는 랜섬웨어 수익금의 지불 및 후속 세탁이 "거의 전적으로 가상자산 통해 이루어지고 있다"고 강조합니다. 이 보고서는 비트코인이 결제의 99%를 차지하고 나머지는 모네로가 차지한다고 밝혔습니다.

이 보고서에는 랜섬웨어 자금 세탁의 일반적인 측면이 다음과 같이 나열되어 있습니다:

• 익명성을 강화하는 기술, 기법, 토큰을 사용하여 자금 출처를 모호하게 하는 필 체인. 필 체인은 여러 개의 중개 계정을 사용하여 자금을 이동하고, 매번 소액을 다른 계정으로 빼돌리는 방식입니다.
• 자금 세탁에서 믹서 및 프라이버시 코인의 역할 - 위에서 언급한 바와 같이 대부분의 결제는 비트코인으로 이루어집니다. TRM에 따르면 비트코인은 랜섬웨어 결제에 사용되는 주요 가상자산 , 자금 세탁 과정에서 브릿지 및 비수탁 거래소를 통해 다른 유형의 암호화폐로 전환되는 경우가 많습니다.
• 제한적이지만 점점 더 많이 사용되고 있는 디파이(Defi) 프로토콜을 사용하여 랜섬웨어 자금을 법정 화폐로 전환하기 전에 계층화할 수 있습니다.
• KYC 관리 수준이 낮은 고위험 관할 지역에서 가상자산 서비스 제공업체(VASP)를 이용해 자금을 우회하는 경우가 많습니다.
• 마지막으로, 다른 사람을 대신하여 거래를 처리하는 개인이 범죄 집단의 자금 세탁을 위해 계좌를 개설하는 머니 뮬을 이용하는 경우입니다.

이제 랜섬웨어 그룹이 몸값을 세탁하는 방법을 살펴보겠습니다.

LockBit: 몸값 지불 세탁에 대한 심층 분석

 락빗의 온체인 활동에 대한 TRM의 분석은 랜섬웨어 그룹의 금융 활동에 대한 추가적인 인사이트를 제공합니다. 그동안 LockBit은 몸값 지불을 용이하게 하기 위해 비트코인을 주요 가상자산 사용해 왔습니다. 그러나 이 그룹은 피해자로부터 금전을 수금하고 계열사에 지불하기 위해 ZCash와 같은 개인정보 보호가 강화된 결제 옵션도 모색해 왔습니다.

락빗 활동의 온체인 분석은 피해자의 초기 몸값이 80%는 락빗 계열사에, 20%는 락빗의 관리자에게 분배되는 그룹의 운영 구조를 강조합니다. 이후 락빗 운영자들은 와사비 2.0을 사용하여 자금을 혼합하고, 미국과 아시아의 여러 비수탁 거래소 및 중앙 집중식 VASP를 통해 피해자 자금을 세탁했습니다.

랜섬웨어 차단하는 블록체인 인텔리전스 역할

지난 몇 달 동안 일련의 혼란을 겪었지만, 올여름에 발생한 일련의 공격은 랜섬웨어 공격자들이 계속해서 수많은 기업을 표적으로 삼고 수법을 진화시킬 것임을 말해줍니다. 또한 AI가 랜섬웨어 공격을 더욱 정교하고 효율적으로 만드는 촉매제가 될 것으로 예상됨에 따라 공격이 더욱 증가할 수 있습니다. 이러한 상황이 발생하면 사이버 보안 강화, 글로벌 협력, 결제 추적 기능이 모두 중요해질 것입니다.