[속보] 악명 높은 랜섬웨어 조직 ‘랜섬허브’ 사이트 ‘먹통’

오전 9시경부터 12시 15분 기준 약 3시간 15분 이상 사이트 접속 불가
지난 5일 밤 국내 기업 2곳 피해 기업 리스트로 올라온 이후, 6일 사이트 마비

[보안뉴스 김경애 기자] 악명 높은 랜섬웨어 조직이 운영하는 랜섬허브(Ransomhub) 사이트가 마비돼 오전 9시경부터 현재(오후 12시 15분)까지 접속되지 않고 있다. 단순 장애인지, 누군가에 의해 사이트가 마비된 것인지, 혹은 랜섬웨어 조직이 주기적으로 사이트를 바꾸는 것인지 그 배경에 이목이 집중되고 있다.

▲랜섬웨어 조직이 운영하는 랜섬허브(Ransomhub) 사이트가 마비된 화면[이미지=보안뉴스]

랜섬허브는 록빗(LockBit)의 영향력이 줄어든 이후 가장 활발한 활동을 보이고 있는 악명 높은 랜섬웨어 그룹이다. 서비스형 랜섬웨어를 제공해 Scattered Spider, Noname 그룹 등 많은 계열사를 확보하며 랜섬웨어 생태계를 장악하고 있다.

이들의 공격수법은 스피어피싱이나 Zerologon1 취약점 등을 악용해 초기 침투한 후, 탐지 회피를 위해 BYOVD(Bring Your Own Vulnerable Driver) 2 기법을 활용해 EDR 솔루션을 무력화시키는 EDRKillShifter를 사용하는 것으로, SK쉴더스의 분석을 통해 드러난 바 있다.

이처럼 고도화된 공격으로 악명을 떨친 랜섬허브 사이트가 마비돼 그 배경에 관심이 모아지고 있는 것. <보안뉴스>에서 처음 접속 마비를 발견한 시각은 6일 오전 9시 경이다. 특히 주목되는 건 이번 사이트 마비 하루 전인 지난 5일, 랜섬허브가 국내 기업 2곳을 지목하며, 피해기업으로 등재했다는 점이다.

랜섬허브 사이트 접속 마비에 대해 보안전문가들도 상황을 지켜보며 주의 깊게 보고 있다. SK쉴더스 EQST Lab팀 이호석 팀장은 “다크웹이다 보니 접속 마비가 종종 발생하기도 한다”며 “보통 하루, 1주 정도 접속되지 않는 경우도 있다”고 밝혔다. 이어 “랜섬허브가 워낙 왕성한 활동을 하다 보니 공격자들 사이에서는 견제 대상이기도 하다”며 “APT 그룹 또는 랜섬웨어 조직들 사이에서는 서로 공격하는 경우도 있어 랜섬허브 역시 이러한 공격을 받을 수도 있고, 미국 등 주요국의 수사기관이나 정부기관에서 사이트를 폐쇄하는 경우도 있다”고 예측했다.

리니어리티 한승연 대표는 “현재 랜섬허브 사이트가 완전히 사라진 것인지 아니면 단순한 장애로 곧 복구될 것인지는 확실치 않다”며 “그러나 랜섬허브가 사라지더라도 그 자리는 곧 다른 RaaS 조직이 차지할 가능성이 높다”고 예측했다.

이에 한 대표는 “기업을 랜섬웨어의 공격으로부터 보호하려면 공격 조직보다는 공격 기법에 집중하고, 피해 예방을 위해 대비하는 것이 중요하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)