랜섬웨어 개발자가 말하는 사이버범죄의 현황과 공격대상의 선택방법

최근 랜섬웨어를 이용한 기업 및 정부기관에 대한 공격이 활발해지고 있으며, 2021년 5월에는 미국 최대의 석유 파이프라인 운영회사 'Colonial Pipeline'과 세계 최대 육류가공업체 'JBS' 등 생활에 깊이 관계하는 기업들이 잇따라 랜섬웨어 공격의 피해를 받았습니다. 2021년 7월에는 이러한 공격에 사용된 랜섬웨어의 기능을 결합하여 강력한 랜섬웨어를 개발했다고 주장하는 사이버범죄 그룹 'BlackMatter'이 사이버범죄 포럼에 등장했습니다. 이 BlackMatter에게 사이버공격 관련 미디어 The Record가 인터뷰를 시도해 그 내용을 공개했습니다.

BlackMatter ransomware targets companies with revenue of $100 million and more - The Record by Recorded Future
https://therecord.media/blackmatter-ransomware-targets-companies-with-revenues-of-100-million-and-more/

BlackMatter ransomware targets companies with revenue of $100 million and more

An interview with BlackMatter: A new ransomware group that's learning from the mistakes of DarkSide and REvil - The Record by Recorded Future
https://therecord.media/an-interview-with-blackmatter-a-new-ransomware-group-thats-learning-from-the-mistakes-of-darkside-and-revil/

An interview with BlackMatter: A new ransomware group that's learning from the mistakes of DarkSide and REvil

2021년 7월에 사이버범죄 포럼에 등장한 BlackMatter은 연간 1억 달러(약 1100억 원) 이상의 수익을 올리고 있는 기업을 공격대상으로 하고 있다고 선언했습니다. 그러나 The Record에 따르면 현재까지 BlackMatter에 의한 공격은 한 건도 확인되지 않았다는 것. The Record가 "BlackMatter이 등장한 이래, BlackMatter 의한 사이버 공격은 한 건도 확인되지 않습니다. 당신들은 새로 개발한 랜섬웨어를 언제부터 개발하기 시작했습니까?"라고 질문하자 BlackMatter은 "랜섬웨어의 개발은 6개월 전부터 시작했습니다. 이미 여러 기업과 몸값 협상을 벌이고 있습니다. 우리는 협상이 실패하지 않는 한 공격을 공표하지 않습니다"라고 답변했습니다.

BlackMatter에 따르면 새로 개발한 랜섬웨어는 주로 'LockBit', 'REvil', 'Darkside'라는 3종류의 랜섬웨어를 참고해 설계했다고 합니다. BlackMatter은 "LockBit는 코드 자체는 우수하지만 실제로는 그다지 잘 작동하지 않습니다. 비유하자면 엔진은 우수한데 내장이 빈약한 일본차와 같습니다. 우리는 LockBit의 코드 구현 방법 일부를 도입했다. REvil는 전반적으로 높은 실적을 가진 랜섬웨어입니다. 우리는 REvil을 참고해 랜섬웨어의 Power Shell 버전을 개발했다. Darkside는 우수한 코드 기반과 재미있는 웹파트를 갖추고 있습니다. Darkside의 암호화 기능은 매우 도움이 되었다"고 각각의 랜섬웨어의 특징과 참고로 한 점을 설명했습니다.

3종의 랜섬웨어 중 Darkside를 개발했던 범죄그룹은 Colonial Pipeline을 공격한 며칠 후 "소유하고 있던 암호화 자산이 누군가에 의해 미지의 계좌로 송금되었다"며 폐점을 선언했습니다. 또 2021년 7월 13일에는 JBS를 공격한 REvil을 개발한 범죄그룹의 웹사이트가 갑자기 폐쇄되었습니다. 이 웹사이트 폐쇄는 미국의 바이든 대통령이 랜섬웨어 공격에 대한 대책을 테러대책과 동등한 우선순위로 상향한 조치나 바이든 대통령이 블라디미르 푸틴 러시아 대통령에게 '사이버공격의 금지구역'을 제시한 것 등이 영향을 주고 있다고 생각할 수 있습니다.

by jlhervàs. https://www.flickr.com/photos/143528404@N04/

Exclusive: U.S. to give ransomware hacks similar priority as terrorism | Reuters
https://www.reuters.com/technology/exclusive-us-give-ransomware-hacks-similar-priority-terrorism-official-says-2021-06-03/

Exclusive: U.S. to give ransomware hacks similar priority as terrorism

FBI names REvil as the group behind meat supplier cyberattack - The Verge
https://www.theverge.com/2021/6/3/22466003/jbs-cyberattack-fbi-revil-sodinokibi-criminal-group

FBI names REvil as the group behind meat supplier cyberattack

The Record는 위의 상황을 근거로 해 "최근 Darkside와 REvil을 개발한 주요 사이버범죄 그룹이 업계에서 사라졌습니다. 이 일련의 움직임은 미국과 러시아의 사이버공격에 대한 대응변화가 영향을 미치고 있다고 많은 전문가가 지적하고 있습니다. 이것은 사실인가요? 그리고 BlackMatter도 같은 운명이 될 것으로 생각합니까?"라고 질문하자 BlackMatter은 "우리는 주요 사이버범죄 그룹이 철수한 원인은 그 공격대상과 세계의 지정학적 상황과 관련이 있다고 생각합니다. 그러나 우리는 공격대상을 엄선하고 중요한 인프라시설이나 의료기관, 정부기관에 대한 공격은 하지 않습니다. 따라서 정부의 주목을 피할 수 있다고 생각한다"고 답했습니다. 또 "Colonial Pipeline과 JBS를 대상으로 실행된 공격에 대해 어떻게 생각합니까? 이러한 대규모 네트워크 공격이 타당합니까?"라는 질문에 "해당 공격은 Darkside와 REvil이 철수하는 중요한 요인이 되었다고 생각합니다. 우리는 그런 공격을 금지하고 있다"며 BlackMatter이 공격대상을 엄선하고 있음을 강조했습니다.

실제로 BlackMatter이 관리하는 사이트에는 '발전소와 수도국 등 인프라 시설', '석유 및 가스 파이프라인 및 제련소', '방위시설', '비영리단체', '정부기관'에 대한 공격을 하지 않는다는 취지가 기재되어 있습니다. 이러한 조건을 감안하여 최종적으로 공격대상을 결정하는 판단 기준에 대해서는 "그 대상을 공격하여 우리에게 미칠 악영향 여부를 종합적으로 판단하여 공격대상을 결정하고 있다"고 답했습니다.

마지막으로 당신들의 비밀을 가르쳐달라는 요구에 BlackMatter은 "우리에게 비밀은 없습니다. 우리는 조국을 믿고 가족을 사랑하고 아이들을 위해 돈을 벌고 있다"고 답했습니다.

BlackMatter의 거점은 분명하지 않지만, 인터뷰는 러시아어로 이루어졌습니다.