Home > 전체기사
레빌 랜섬웨어 운영자들, 훔친 데이터 가지고 경매 사업 벌였다
  |  입력 : 2020-07-01 12:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
가치 높은 표적을 골라 공격하고...암호화 하기 전에 중요 정보 미리 빼돌려
빼돌린 정보로 협박 수위 높이다가 이제는 경매까지...성공 여부로 향후 방향 결정될 듯


[보안뉴스 문가용 기자] 악명 높은 레빌(REvil) 랜섬웨어 갱단이 새로운 기능을 자신들의 웹사이트에 추가했다. 바로 ‘경매’ 기능으로, 랜섬웨어 공격을 진행하면서 수집한 민감한 정보를 다른 공격자들에게 판매함으로써 최대한의 수익을 거두기 위해 마련한 것으로 보인다.

[이미지 = utoimage]


이 새로운 경매 기능이 발견된 건 6월 초의 일이다. 보안 업체 사이버인트(Cyberint)가 발견했고 관련 분석 보고서를 발표했다. 레빌이 처음 경매에 올린 건 캐나다의 농업 전문 기업에서 훔친 예산 정보와 파일, 데이터베이스였다고 한다. 그러더니 며칠 후인 6월 8일 경매가 5만 달러라는 금액에서부터 시작됐다. 경매 없이 데이터를 사고 싶다면 10만 달러를 지불해야 했다.

사이버인트에 의하면 곧 다른 조직의 정보들도 경매에 올라오기 시작했다고 한다.
1) 한 미국 식료품 관련 공급 업자(계정 정보와 내부 문건 등 / 10만 달러부터 시작)
2) 한 미국 로펌(각종 기밀과 개인 식별 정보가 담긴 문건 50GB / 3만 달러부터 시작)
3) 한 미국 지적재산 전문 로펌(모든 내부 문건이 담긴 자료 1.2TB / 100만 달러부터 시작)

3)번의 경우 특허 관련 정보 등 고가치 문건이 다량 포함되어 있게 가격이 높은 것이라고 사이버인트는 설명했다. “그러나 이렇게 구매한 기술 정보를 실제 활용해 제품이나 서비스를 개발해 시장에 내놓는다면, 그 기업이나 조직은 의심의 눈길을 피할 수 없을 것으로 보인다”고 덧붙이기도 했다.

한편 사이버인트는 레빌이 경매까지도 시작했다는 건 꽤나 ‘당연한 수순’이라는 의견이다. 레빌은 표적 공격을 전문으로 하고 있으며, 데이터의 가치가 높은 조직들을 주로 노리는 것으로 유명하다. 또한 정보를 미리 빼냄으로써 피해자가 돈을 내지 않을 경우 추가 협박을 할 수 있게 대비하기도 한다. 즉, ‘고효율 공격’을 극도로 추구한다는 건데, 그런 자들이 훔쳐낸 정보를 그냥 놔둘 리가 없다는 것이다.

경매는 철저하게 익명으로 진행된다. 참여하려면 캡챠(CAPTCHA)를 통과하기만 하면 된다. 즉 봇만 아니라면 누구나 참여가 가능하다는 것이다. 경매와 관련된 돈은 모네로를 통해 유통된다. 캡챠를 완료한 참여 희망자는 일정 금액의 모네로를 예금으로 걸어놓아야 한다. 주최 측이 마련한 일종의 보험이다.

레빌 랜섬웨어 운영자들이 처음 등장한 건 2019년 9월이다. 당시 유명했던 갠드크랩(GandCrab)의 후신으로 알려져 있다. 갠드크랩 운영자들은 2019년 5월 “충분한 돈을 벌었다”며 “이제 이 생활을 청산하기 위해 은퇴하겠다”고 발표한 바 있다. 하지만 보안 업계에서 이 말을 믿은 사람은 아무도 없다. 은퇴라는 거짓말로 수사의 눈을 피한 채 새로운 이름으로 활동을 시작할 것으로 예상했고, 그 와중에 등장한 것이 레빌 혹은 소디노키비(Sodinokibi)다.

레빌의 새 경매 사업이 성공을 거둘지, 별다른 성과 없이 끝날지는 더 지켜봐야 한다. 하지만 큰 성공을 거둔다면 다른 랜섬웨어 공격자들이 모방할 것으로 예상된다. 실패한다면 훔친 데이터를 돈으로 전환할 또 다른 방법을 들고 나올 것이 분명하다. 사이버인트는 “기대 이하의 성과를 거둔다면 경매 가격을 내리거나 데이터의 가치를 적극적으로 광고하는 움직임도 보일 것”이라며 “꾸준히 모니터링하면서 추이를 파악하는 것이 이후 랜섬웨어 공격의 향방을 예측하는 데 도움이 될 것”이라고 말했다.

3줄 요약
1. 랜섬웨어라는 수단으로 최대한의 수익을 남기고자 애쓰는 레빌 공격자들.
2. 최근 이들은 협박 강도를 높이기 위해 훔쳐낸 데이터를 가지고 경매까지 시작함.
3. 경매 사업의 성공 여부는 아직 판단하기 어려움. 지켜보면 향후 추이 예상 가능할 듯.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)