Home > 전체기사

새로운 랜섬웨어 갱단 블랙매터, 레빌과 다크사이드의 후예라 자칭

  |  입력 : 2021-07-29 20:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
꽤나 이목을 끄는 사이버 범죄 단체가 등장했다. 블랙매터라고 하는데, 레빌과 다크사이드 등 과거 악명 높았던 랜섬웨어의 강점만 모아둔 자들이라고 스스로를 광고하고 있다. 이미 피해자도 한 곳 발견되고 있으며, 사업에 대한 이들의 진심도 여기 저기서 발견되고 있다.

[보안뉴스 문가용 기자] 새로운 랜섬웨어 갱단이 등장했다. 블랙매터(BlackMatter)라는 이름을 가지고 있는데, 스스로를 “레빌(REvil)과 다크사이드(DarkSide)의 후예”라고 칭할 정도로 강한 자신감을 가지고 있다. 러시아 다크웹 내 해킹 포럼에 얼마 전 등장한 이들은 현재 꽤나 많은 이들의 이목을 끌고 있는 상태다.

[이미지 = utoimage]


블랙매터가 말하는 ‘후예’란, 그 동안 나왔던 많은 랜섬웨어의 좋은 점만 가져왔다는 뜻이다. 이들은 “다크사이드와 레빌, 록빗(LockBit)의 특장점만 모았다”고 주장한다. 보안 업체 플래시포인트(Flashpoint)는 레빌 공격자들이 초기에 자신들의 윈도 레지스트리 키를 ‘블랙라이브즈매터(BlackLivesMatter)’라고 붙인 것이 기억나는 이름이라고 말한다. ‘블랙라이브즈매터’라는 키 이름은 최근 레빌이 일으킨 카세야(Kaseya) 사태에서 발견된 바 있다.

신인 그룹 블랙매터의 ‘후예’ 주장을 그냥 흘려듣기 힘든 건 이와 같은 레빌과의 연관성 때문이기도 하지만 얼마 전 레빌이 종적을 감췄기 때문이기도 하다. 레빌은 카세야 사태를 일으킨 후 러시아와 미국의 대통령이 수사 협조를 약속하자마자 운영하던 웹사이트를 모두 닫고 포럼에서도 활동을 중단했다. 카세야 사태란, MSP 기업들이 사용하는 인기 소프트웨어인 카세야 VSA를 익스플로잇 함으로써 수많은 MSP 고객사들을 랜섬웨어로 감염시킨 사건을 말한다. 이 사건 이후 일부 다크웹 포럼들은 레빌의 멤버들을 차단하기도 했다.

이 때문에 러시아와 미국의 사법 기관이 레빌의 멤버들을 체포했다는 소문이 돌기도 했으나, 러시아 정부와 미국 정부는 “해당 사건에 대해 아는 바가 없다”고 발표했다. 때문에 수사의 압박을 못 이겨 레빌이 자진 해체했다는 설이 유력하게 떠올랐다. 그 동안 은퇴를 선언했던 랜섬웨어 운영자들 대다수가 새로운 이름으로 활동을 재개했다는 걸 생각했을 때 레빌 운영자들 역시 비슷한 수순을 밟을 것이 예견되기도 했었다. 그런 가운데 레빌의 강점을 계승했다는 블랙매터가 등장한 것이다.

과연 레빌은 블랙매터라는 이름으로 활동명을 바꾼 것일까? 아니면 전혀 다른 그룹일까? 정확한 건 아직 아무도 모른다. 하지만 확실한 건 이미 블랙매터의 피해자가 나오고 있다는 것이다. 보안 업체 엠시소프트(Emsisoft)의 경우 해당 공격에서 레빌 랜섬웨어의 프로그래밍 코드를 발견했다며 “레빌이 돌아왔다”고 블로그를 통해 말하고 있을 정도다. 만약 블랙매터가 레빌과 전혀 다른 프로그램이라면, 개발진이나 운영진 중에 레빌이 있는 것이 분명해 보일 정도라고 엠시소프트는 보고 있다.

현재 블랙매터는 인재 모집을 공격적으로 실시하고 있는 중이다. 보안 업체 레코디드 퓨처(Recored Future)에 의하면 블랙매터의 멤버로 보이는 인물이 구인 구직이 중점적으로 이뤄지고 있는 다크웹 포럼인 익스플로잇(Exploit)에 12만 달러에 해당하는 보증금을 낸 상태라고 한다. 즉, 이들이 꽤나 ‘진심으로’ 기술자들을 모집하고 있다는 뜻이다. 다크웹 포럼들은, 사이버 범죄자들 간의 사기와 속임수를 방지하기 위해 보증금을 받는다.

또한 블랙매터는 한 다크웹 포럼에 “대기업 네트워크로의 침투 경로를 구매하고 싶다”는 내용의 글을 올리기도 했다고 한다. 보안 업체 플래시포인트가 이를 처음 발견했다. 그러면서 블랙매터가 특히 노리고 있는 지역은 미국, 캐나다, 호주, 영국이라고 경고하기도 했다. 이들이 구매하고자 하는 ‘침투 경로’는 연간 수익이 1억 달러를 넘기는 기업에 대한 것으로 공개되어 있다. 하지만 병원과 사회 기 반 시설, 국방 조직, 정부 기관은 공격하지 않는다고 강조하고 있기도 하다. 조건이 맞는다면 블랙매터는 3천 달러에서 10만 달러를 낼 의향이 있다고 한다.

이처럼 블랙매터의 랜섬웨어 사업 진행이 꽤나 능숙해 보인다는 것도 이들 중 과거 악명 높았던 랜섬웨어 갱단 멤버가 섞여 있을 가능성을 높인다. 초심자치고는 지금 해야 할 일을 너무나 잘 알고 있는 모습이며, 투자도 과감하다는 것이다. 그러나 명확한 건 아무 것도 없다. 다만 경계해야 할 랜섬웨어가 하나 더 늘어났다는 것만 분명하다.

3줄 요약
1. 다크웹에 새로운 랜섬웨어 갱단 등장. 이름은 블랙매터.
2. 스스로 주장하는 것도 그렇고 이름에서도 그렇고 레빌의 분위기가 물씬.
3. 현재 공격적으로 사업 확장하는 중인데, 정체는 더 두고봐야 할 듯.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)