미국, 영국 및 호주 대상 Zservers 및 LockBit 계열사

오늘 미국 재무부OFAC(해외재산관리국))은 호주 외교통상부, 영국 외무부 및 영연방개발청과 협력하여 러시아에 기반을 둔 방탄 호스팅 서비스 제공업체인 Zservers에 대해 락빗 랜섬웨어 공격을 지원하는 역할을 한 혐의로 제재를 가한다고 발표했습니다. 제재 대상에는 다수의 Zservers 직원과 관리자는 물론 Zservers의 영국 페이퍼 컴퍼니인 XHOST Internet Solutions LP도 포함되었습니다.

LockBit은 가장 널리 배포된 랜섬웨어 변종 중 하나이며 2023년 11월에 발생한 중국 공상은행의 미국 브로커-딜러 침해 사고를 비롯한 주요 사이버 공격의 원인이었습니다. 지서버는 법 집행 기관의 탐지 및 사이버 보안 방어를 회피하도록 설계된 특수 인프라를 제공함으로써 락빗의 운영을 촉진하는 데 중요한 역할을 해왔습니다.

Zservers는 Dharma, Hive, VoidCrypt, Venus 랜섬웨어 비롯한 다른 랜섬웨어 변종도 지원합니다. 

방탄 호스팅 사이트

방탄 호스팅(BPH) 사이트는 법 집행 기관의 탐지 및 삭제 노력을 회피하도록 설계된 인프라를 제공하는 웹 호스팅 서비스입니다. 이러한 호스팅 제공업체는 종종 불법 또는 비윤리적 활동에 관대하며 도메인 압류, 법적 소송 및 사이버 보안 모니터링으로부터 보호한다고 마케팅합니다.

방탄 호스팅 제공업체는 법 집행 기관의 조치를 거부하는 것으로 유명합니다. 이들은 일반적으로 당국 및 사이버 보안 회사의 악용 신고를 무시하여 사이버 범죄자들이 중단 없이 계속 운영할 수 있도록 합니다. 이러한 서비스 중 상당수는 사이버 범죄 단속이 취약한 관할권에서 운영되기 때문에 국제 당국이 이를 차단하기 어렵습니다.

익명성은 방탄 호스팅 사이트의 또 다른 핵심 기능입니다. 이러한 제공업체는 가상자산 결제를 허용하고 고객 인증을 거의 또는 전혀 요구하지 않기 때문에 서비스를 사용하는 개인을 추적하기 어렵습니다. 서버가 신고되거나 블랙리스트에 오르면 방탄 호스팅 운영자는 신속하게 새 IP 주소를 재할당하거나 서비스를 다른 관할 지역으로 이전하여 서비스 중단을 방지합니다.

이러한 호스팅 서비스는 랜섬웨어 운영, 피싱 캠페인, 멀웨어 배포, 봇넷, 다크넷 마켓플레이스 등의 활동을 위해 사이버 범죄자들이 널리 사용합니다. 예를 들어 랜섬웨어 그룹은 방탄 호스팅을 사용하여 랜섬웨어 감염을 관리하는 명령 및 제어 서버를 운영합니다. 피싱 및 사기 조직은 이러한 서비스를 사용하여 사기성 뱅킹 사이트, 신원 도용 작업, 인증 정보 도용 캠페인을 호스팅합니다. 분산 서비스 거부(DDoS) 공격을 시작하는 봇넷은 종종 사이버 보안 연구원에 의해 식별된 후에도 온라인 상태를 유지하기 위해 방탄 호스팅을 사용합니다. 마약, 무기, 도난 데이터의 판매를 용이하게 하는 다크넷 마켓플레이스도 이러한 호스팅 서비스에 의존하여 운영을 유지합니다.

오늘 OFAC(해외재산관리국)의 제재를 받은 러시아 기반 호스팅 제공업체인 Zservers는 LockBit 랜섬웨어 계열사의 핵심 조력자로 확인되었습니다. 조사 결과 Zservers는 랜섬웨어 공격에 사용된 IP 주소, 서버, 네트워킹 도구를 임대해 준 것으로 밝혀졌습니다. 또한 Zservers의 관리자들은 이러한 사이버 범죄 운영을 유지하기 위해 가상자산 거래를 촉진했습니다.

국제 당국은 랜섬웨어 그룹이 번창할 수 있게 하는 인프라를 겨냥하여 Zservers와 그 관리자를 제재하고 있습니다. 이 조치는 개별 해커에게만 초점을 맞추는 것이 아니라 사이버 범죄 지원 네트워크를 해체하려는 노력이 증가하고 있음을 반영합니다.

Z서버: 랜섬웨어 공격의 핵심 조력자: Z서버

러시아 바르나울에 본사를 둔 Zservers는 사이버 범죄 포럼에서 BPH 서비스를 적극적으로 마케팅하여 LockBit 계열사에 랜섬웨어 공격을 시작하는 데 사용되는 IP 주소, 서버 및 네트워킹 도구에 대한 액세스를 제공했습니다. 방탄 호스팅은 범죄 또는 불법 활동에 대해 더 관대한 정책을 제공하는 인터넷 호스팅 서비스의 한 유형입니다. 이러한 서비스는 법 집행 기관 및 사이버 보안 회사의 삭제 조치에 저항하도록 설계되어 멀웨어, 피싱 사이트, 명령 및 제어 서버, 기타 불법 콘텐츠를 호스팅해야 하는 사이버 범죄자에게 이상적입니다.

2022년, 캐나다 사법 당국은 랜섬웨어 멀웨어를 제어하기 위해 Zservers가 임대하는 IP 주소를 사용하는 LockBit 계열사를 발견했습니다. 2023년에는 러시아의 한 사이버 범죄자가 랜섬웨어 운영을 조정하기 위한 LockBit 채팅 서버로 사용하기 위해 Zservers로부터 IP 주소를 구입했습니다. Zservers는 이전 IP 주소가 피해자나 법 집행 기관에 의해 적발되면 신속하게 새 IP 주소를 LockBit 계열사에 재할당했던 기록이 문서화되어 있습니다.

OFAC(해외재산관리국) 은 오늘 조치의 일환으로 지서버 관리자로 활동하는 러시아 국적자 알렉산더 이고레비치 미신과 알렉산드르 세르게예비치 볼샤코프도 지정했습니다. 미신과 볼샤코프는 고의로 락비트에 인프라 지원을 제공하고 랜섬웨어 운영을 유지하기 위해 가상 화폐 거래를 지시한 혐의를 받고 있습니다.

랜섬웨어 대한 국제 공조 단속

오늘의 제재는 최근 LockBit 랜섬웨어 생태계를 겨냥한 국제적인 단속 조치에 기반한 것입니다.

2024년 2월: 락빗의 인프라 중단

2024년 2월, 영국 국가범죄청, 미국 Department of Justice, FBI, 유로폴이 참여한 합동 작전으로 LockBit의 핵심 인프라가 중단되었습니다. 이 작전으로 LockBit이 통제하는 서버와 웹사이트가 압수되어 새로운 공격을 수행할 수 있는 능력이 무력화되었습니다. 또한 이 작전을 통해 락빗의 계열사와 온체인 금융 거래도 확인되었습니다. TRM Labs의 분석에 따르면, 락빗 관리자와 계열사가 관리하는 주소는 2022년 이후 2억 달러 이상의 비트코인 거래를 받았으며, 1억 1천만 달러 이상이 아직 온체인에서 사용되지 않은 것으로 추정됩니다.

2024년 5월: 락빗 리더의 신원 확인

2024년 5월, 미국과 영국은 "LockBitSupp"라는 가명으로 활동하는 것으로 확인된 LockBit의 리더인 드미트리 유레비치 코로셰프를 공동으로 제재했습니다. 미국 Department of Justice 코로셰프에 대해 사기, 갈취, 자금 세탁 음모 혐의를 적용해 기소장을 공개했습니다. 미 국무부는 코로셰프의 체포로 이어진 정보에 대해 금전적 포상금을 지급한다고 발표했습니다.

에서 찾은 결과 TRM Labs' 2025년 암호화폐 범죄 보고서

Zservers에 대한 제재는 랜섬웨어 공격이 급증하고 자금 세탁 수법이 변화하는 가운데 이루어졌습니다. 에 따르면 TRM Labs의 최신 보고서에 따르면 랜섬웨어 2024년에 5,635건의 공격이 공개적으로 보고되어 2023년의 5,223건을 넘어서는 등 가장 빠르게 성장하는 사이버 위협 중 하나로 남아 있습니다.

랜섬웨어 그룹은 2024년 3월 다크 엔젤스 랜섬웨어 그룹에 7,500만 달러의 몸값을 지불하는 등 기록적인 금액을 요구하고 있습니다. 기존의 가상자산 믹서는 크로스체인 브릿지로 대체되고 있으며, 범죄자들은 여러 블록체인을 통해 자금을 이동하여 탐지를 피할 수 있습니다. 의료 및 정부 인프라와 같은 중요 부문을 노리는 Brain Cipher, dAn0n, DragonForce, Fog, Funksec, RansomHub, Sarcoma, Trinity를 포함한 새로운 랜섬웨어 그룹이 등장했습니다.

사이버 범죄에 대응하기 위한 대규모 전략

오늘 조치는 랜섬웨어 공격자뿐만 아니라 이들을 지원하는 인프라와 금융 조력자를 표적으로 삼아 랜섬웨어 네트워크를 교란하려는 광범위한 국제적 노력의 일환입니다.

랜섬웨어 공격자 및 기타 사이버 범죄자들은 미국과 국제 중요 인프라에 대한 공격을 가능하게 하기 위해 지서버와 같은 제3자 네트워크 서비스 제공업체에 의존하고 있습니다."라고 브래들 스미스 재무부 테러 및 금융정보 담당 차관 대행이 말했습니다. "오늘 호주, 영국과의 3국 공동 조치는 국가 안보를 보호하기 위해 이 범죄 생태계의 모든 측면을 파괴하려는 우리의 공동 결의를 강조합니다."

2024년 암호화폐 관련 해킹으로 22억 달러가 도난당한 가운데, 당국은 사이버 범죄 네트워크를 교란하기 위한 노력을 강화하고 있습니다. 각국 정부는 지서버와 같은 인프라 제공업체를 제재함으로써 랜섬웨어 그룹의 번영을 가능하게 하는 기술적, 재정적 생명줄을 차단하기 위해 노력하고 있습니다.