오늘 미국 재무부OFAC(해외재산관리국)은 영국 외무부, 영연방개발청(FCDO) 및 호주 외교통상부(DFAT)와의 공조 조치의 일환으로 러시아 사이버 범죄 그룹 Evil Corp와 관련된 개인 7명과 단체 2곳을 제재했습니다. 막심 빅토로비치 야쿠베츠가 이끄는 이블 코퍼레이션은 은행 인증 정보를 탈취하고 금융 사기를 저지르는 데 사용되는 드리덱스 멀웨어를 처음 개발한 2009년부터 오랜 사이버 범죄의 역사를 가지고 있습니다. 이들의 활동은 40여 개국에 영향을 미쳐 1억 달러 이상의 재정적 손실을 초래했으며, 주로 은행, 의료 및 주요 인프라 부문에 영향을 미쳤습니다.
영국은 16개, 호주는 3개의 이블 코퍼레이션 회원 및 계열사를 지정했습니다.
OFAC(해외재산관리국) 의 제재를 받은 개인 중 한 명은 '베벌리'라는 별명으로도 알려진 락빗 랜섬웨어 계열사 알렉산드르 빅토로비치 리젠코프로, 이블 코퍼레이션의 설립자 막심 빅토로비치 야쿠베츠와 함께 그룹 운영에 관여한 혐의를 받고 있습니다.
제재 조치와 더불어, 미국 Department of Justice 텍사스와 미국 전역의 여러 피해자를 공격하기 위해 BitPaymer 랜섬웨어 배포하는 데 관여한 혐의로 러시아 국적의 리젠코프에 대한 기소를해제했습니다. 2017년 6월부터 리젠코프는 피해자의 네트워크에 무단으로 액세스하여 랜섬웨어 사용하여 데이터를 암호화하고 액세스 복원과 민감한 정보의 공개를 막기 위해 거액의 몸값을 요구한 혐의를 받고 있습니다.
기소장에는 리젠코프와 그의 공모자들이 피싱, 멀웨어, 시스템 취약점을 이용해 미국 기업으로부터 수백만 달러를 갈취한 방법이 자세히 나와 있습니다.
미국 Federal Bureau of Investigation, 영국 국가범죄청, 호주 연방경찰도 ' Evil Corp'라는 제목의 상세한 보고서를 발표했습니다 : 이 그룹의 전술, 역사, 조직 계층 구조, 러시아 국가와의 긴밀한 연계에 대해 자세히 설명하는 비하인드 더 씬을 발표했습니다.
오늘 조치는 랜섬웨어 위협에 대응하기 위해 50개 이상의 국가가 협력하는 미국 주최의 카운터 랜섬웨어 이니셔티브 정상회의 둘째 날에 맞춰 이루어졌습니다. TRM Labs 는 이 서밋에 참여하게 된 것을 영광으로 생각합니다.
인디크 스파이더라고도 알려진 이블 코퍼레이션은 '아쿠아'라는 가명으로 활동하는 야쿠베츠가 설립했으며, 현재 5백만 달러의 현상금이 걸려 있는 가장 지명 수배된 사이버 범죄자 중 한 명입니다. 전통적인 범죄 가족처럼 조직된 이 그룹에는 야쿠베츠의 아버지인 빅토르 야쿠베츠와 그의 2인자인 알렉산드르 빅토로비치 리젠코프 등 야쿠베츠의 가족 구성원들이 다수 포함되어 있습니다. 이들은 자금 운반책 네트워크, 가상자산 거래, 페이퍼 컴퍼니를 이용하는 등 고도로 전문적인 전술을 사용하여 사이버 활동에서 얻은 수익을 세탁했습니다. 전성기 시절 이블 코퍼레이션은 모스크바의 물리적 위치에서 활동했으며, 긴밀한 사회적 및 비즈니스 관계를 유지하여 그들의 긴밀한 운영 구조를 강조했습니다. 이블 코퍼레이션과 야쿠베츠는 모두 2019년에 OFAC(해외재산관리국) 의 제재를 받았습니다.
Evil Corp의 진화와 운영
Evil Corp의 역사는 은행 사기를 전문으로 하는 사이버 범죄 그룹인 The Business Club의 초창기 시절로 거슬러 올라갑니다. 2009년부터 야쿠베츠는 에브게니 보가체프 등 다른 악명 높은 사이버 범죄자들과 협력하여 자버 제우스 및 게임오버제우스와 같은 멀웨어를 배포했습니다. 2014년에 Evil Corp는 지금까지 개발된 멀웨어 중 가장 많은 변종 중 하나가 된 드리덱스를 도입하면서 조직 범죄 그룹(OCG)으로 완전히 전환했습니다. Evil Corp는 또한 2017년에 BitPaymer를 시작으로 랜섬웨어 포트폴리오에 도입했습니다.
2019년까지 미국과 영국의 사법 당국은 제재와 기소를 통해 이블 코프의 운영을 방해했고, 이블 코프는 전술을 수정해야 했습니다. 이러한 혼란 이후 그룹은 분열되었고, 이고르 투라셰프가 이끄는 한 세력이 도플페이머 랜섬웨어 개발했습니다. 야쿠베츠의 나머지 조직원들은 웨이스트락커, 하데스, 피닉스 락커와 같은 새로운 랜섬웨어 변종을 개발하여 그룹의 적응력을 보여주었습니다.
암호화 넥서스
TRM의 온체인 활동 분석은 랜섬웨어 그룹의 금융 활동에 대한 추가적인 인사이트를 제공합니다. 역사적으로 랜섬웨어 그룹은 몸값 지불을 용이하게 하기 위해 비트코인을 주요 가상자산 사용해 왔습니다. 그러나 랜섬웨어 그룹은 피해자로부터 금전을 수금하고 계열사에 지불하기 위해 ZCash 또는 Monero와 같은 개인 정보 보호가 강화된 결제 옵션을 사용하기도 합니다.
랜섬웨어 활동에 대한 온체인 분석은 피해자의 초기 몸값이 80%는 제휴사에, 20%는 랜섬웨어 그룹의 관리자에게 전달되는 전형적인 랜섬웨어 운영 구조를 보여줍니다. 랜섬웨어 그룹은 종종 믹서, 미국과 아시아의 여러 비수탁 거래소 및 중앙 집중식 VASP를 사용하여 피해자의 자금을 세탁합니다.
에 따르면 TRM Labs에 따르면 리젠조프의 가상자산 주소는 규정을 준수하는 가상자산 서비스 제공업체와 크립텍스닷넷과 같은 제재 대상 업체에서 현금화하는 잘 알려진 랜섬웨어 행위자 등 범죄 집단에 상당히 노출 것으로 나타났습니다.
러시아 국가에 대한 링크
이블 코퍼레이션과 러시아 정보 기관과의 관계는 광범위했습니다. 대부분의 사이버 범죄 그룹은 독립적으로 활동하지만, 야쿠베츠 그룹은 FSB(금융안정위원회)), SVR, GRU와 직접 협력하여 나토 동맹국에 대한 스파이 활동과 사이버 공격을 수행한 것으로 알려졌습니다. FSB(금융안정위원회))의 비밀 조직인 빔펠(Vympel)의 고위 관리였던 에두아르드 벤더스키(Eduard Benderskiy)는 이러한 관계를 촉진하여 이블코프가 러시아 국가로부터 보호와 지원을 받을 수 있도록 했습니다. 이러한 특권적 지위 덕분에 이블 코퍼레이션은 러시아 당국의 간섭을 거의 받지 않고 사업을 계속할 수 있었습니다.
제재 관련 시사점
2024년 10월 제재는 영국과 호주의 동시 지정과 함께 랜섬웨어 및 사이버 범죄에 대응하기 위한 광범위한 국제적 노력의 일환입니다. 이러한 제재 조치의 결과로 지정된 개인 및 단체의 자산은 동결되며 미국인은 이들과 거래할 수 없습니다. 이러한 개인과 거래하는 금융 기관 및 기타 기업은 처벌 및 집행 조치의 위험이 있습니다. 오늘 50여 개국이 참여하는 카운터 랜섬웨어 이니셔티브 서밋은 이블 코퍼레이션과 같은 사이버 범죄 네트워크를 해체하기 위한 글로벌 협력을 더욱 강화합니다.
결론
이블 코퍼레이션의 사례는 국가와 연계된 사이버 범죄 조직의 진화하는 위협을 잘 보여줍니다. 이 그룹은 10년이 넘는 기간 동안 새로운 멀웨어와 랜섬웨어 개발하며 법 집행 기관의 조치에 적응하며 활동을 지속해 왔습니다. 그러나 국제 법 집행 기관의 제재와 지속적인 압력으로 인해 이들의 활동 능력에 장애가 발생했습니다. 2024년 미국, 영국, 호주의 공동 대응은 각국 정부가 랜섬웨어 사이버 위협으로부터 주요 인프라를 보호하고 운영을 방해하기 위해 최선을 다하고 있기 때문에 이블 코프의 감시를 피하려는 시도가 실패하지 않을 것임을 보여줍니다.
트론, 솔라나 및 기타 23개 블록체인에 대한 보도 내용을 확인하세요.
양식을 작성하여 조사 전문 서비스에 대해 저희 팀과 상담하세요.
