보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

레빌과 블랙매터의 유산을 물려받았다고 주장하는 새 랜섬웨어 그룹, 알프파이브

입력 : 2022-04-08 16:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
랜섬웨어 그룹이 새롭게 나타나 다크웹에서 활동을 시작했다. 이들은 알프파이브라고 하며, 레빌과 블랙매터라는 과거 유명 랜섬웨어 단체로부터 파생되어 나온 조직이라고 스스로를 홍보하고 있다. 실제 이들에게서 블랙매터의 모습이 언뜻 나타나기도 한다.

[보안뉴스 문가용 기자] 알프파이브(ALPHV)라는 랜섬웨어 그룹이 다크웹에 등장해 자신들만의 랜섬웨어 서비스를 새롭게 시작했다. 알프파이브는 자신들이 국제 공조로 사라진 블랙매터(BlackMatter)와 레빌(REvil) 그룹의 멤버들로 구성되어 있다고 주장하고 있으며, 이미 한 ERP 업체와 산업 기업 한 군데를 공격하는 데 성공했다고 발표하기도 했다.

[이미지 = utoimage]


알프파이브가 주력으로 사용하는(다른 공격자들에게 판매하는) 랜섬웨어는 블랙캣(BlackCat)이라고 한다. 보안 업체 카스퍼스키(Kaspersky)는 “이미 여러 조직들이 블랙캣에 당했다”고 말한다. 또한 알프파이브의 주장처럼 “일부 멤버가 블랙매터나 랜섬웨어에서 활동한 전력이 있는 것처럼 보이기는 한다”고도 밝혔다.

“현재까지는 블랙캣이 연루된 공격을 세분화 하여 역할을 명확히 구분하는 게 어렵습니다. 코드를 개발하거나 관리하는 사람, 파트너 조직들과의 관계를 담당하는 사람, 실제 공격을 실시하는 사람 등이 섞여서 사건을 일으키기는 하는데 그 구분이 뚜렷하지는 않다는 겁니다. 일부 공격에서는 접근 브로커들과 침투 테스트의 것으로 보이는 흔적이 발견되기도 했습니다.” 카스퍼스키 측의 설명이다.

카스퍼스키가 추적하고 분석한 바에 따르면 알프파이브는 펜더(Fendr)라는 공격 도구를 사용하는 모습을 보이기도 했다. 펜더는 과거 블랙매터 그룹만이 사용하던 도구다. 2021년 12월과 2022년 1월 일부 피해자들로부터 정보를 빼돌리는 데에 펜더가 사용됐었다. 그런 후에 블랙캣 랜섬웨어를 사용해 데이터를 암호화시켰다고 한다. 랜섬웨어 공격자들 사이에서 인기가 높은 이중 협박 전략인 것이다.

블랙캣의 독특한 점은 러스트(Rust)라는 프로그래밍 언어로 만들어져 있다는 사실이다. 러스트를 사용해 멀웨어를 제작하는 경우가 아주 없지는 않은데, 매우 드물기 때문에 이런 점이 눈에 띄는 것이다. 러스트의 강점은 여러 가지 플랫폼에 사용될 버전을 빠르게 컴파일링 할 수 있다는 것으로, 예를 들어 윈도용 멀웨어를 리눅스용과 맥OS용으로도 변환시키는 게 가능하다.

현재까지 카스퍼스키가 찾아낸 블랙캣의 피해자들 중에는 중동의 ERP 서비스 제공 업체 하나가 포함되어 있었다. 공격자들은 이곳에서 파일 암호화 만이 아니라 크리덴셜 탈취도 시도했다. 그 다음에는 남미 지역의 석유, 가스, 광산, 건축 업체가 당한 것으로 나타났다. 이 공격에서 알프파이브는 펜더를 사용하기도 했었다.

많은 랜섬웨어 그룹들처럼 알프파이브도 ‘서비스형 랜섬웨어(RaaS)’를 사업 모델로 채택하고 있다. 그렇기 때문에 공격 그룹의 구성원 및 조직 구조를 명확하게 파악하는 게 힘들다. 따라서 레빌과 블랙매터의 그룹 멤버들로 구성되어 있다고 주장하고는 있지만 사실은 그들의 옛 도구들만 계약을 통해 대여해서 사용하는 것뿐일 수도 있다. 유명한 과거 그룹들의 이름을 빌려 고객들을 끌어 모으려는 전략인 셈이다.

“다크웹과 각종 해킹 포럼에서 활동하는 범죄자들은 과거 유명한 이들의 명성을 곧잘 신뢰하는 편입니다. 그렇기 때문에 악명 높았던 이들의 이름을 빌려서 사업을 한다는 건 그리 새로울 것도 없는 사업 전략이고, 나름 잘 통하는 방법이기도 합니다. 실제로 이들의 활동에서 블랙매터의 모습이 나타나기도 하고요. 하지만 어차피 요즘의 랜섬웨어 공격은 여러 특기를 가진 자들이 계약 관계를 맺어 연합함으로써 발생합니다. 과거 어떤 이력을 가진 자라도 또 다른 그룹과 손을 잡고 있다는 게 이상할 것도 없습니다.” 카스퍼스키의 설명이다.

레빌과 블랙매터는 모두 러시아인들로 구성되어 있는 것으로 알려진 범죄 단체다. 러시아인이 아니더라도 러시아어를 자기들끼리는 사용하고 있으며, 활동하던 곳도 러시아어 기반 포럼이었다. 그러나 아직 알프파이브 역시 러시아인들로 구성된 그룹인지는 확실치 않다. “하지만 러시아어를 사용하는 자들로 이뤄진 집단일 가능성이 가장 높은 건 사실입니다.”

3줄 요약
1. 다크웹에 새롭게 나타난 랜섬웨어 그룹, 알프파이브.
2. 스스로를 레빌과 블랙매터의 옛 멤버들로 이뤄진 팀이라고 홍보.
3. 주로 사용하는 랜섬웨어의 이름은 블랙캣.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)