Offcanvas
2022년 가장 활발했던 랜섬웨어 공격 집단
록빗 2.0
자료 제목 :
다크 웹 프로필 : Hive 랜섬웨어 그룹
Dark Web Profile : Hive Ransomware Group
자료 출처 :
SOCRadar
원본자료 다운로드
발행 날짜 :
2023년 01월 26일

CSO / 랜섬웨어 / 보안

美 FBI·유럽 경찰, ‘몸값 $1.3억’ 하이브 랜섬웨어 서비스 제압

2023.01.30 Apurva Venkat  |  CSO
美 FBI가 독일, 네덜란드 기관과 공조해 전 세계 80개국 이상에서 1,500명의 피해자를 낳은 하이브 랜섬웨어 그룹의 서비스를 중단시키는 데 성공했다고 밝혔다. 2021년부터 하이브가 갈취한 몸값만 1억 달러에 달하며, 이번 작전으로 방지한 추가 피해액은 1억 3천만 달러에 이른다. 
 
ⓒGetty Images Bank

미국 법무부(DOJ)가 다른 국제기관과 함께 하이브 랜섬웨어 그룹의 공격 인프라를 무너뜨렸다. 법무부 소속 FBI(Federal Bureau of Investigation)가 2022년 7월 이 작전을 시작해 하이브의 컴퓨터 네트워크에 침투하는 데 성공했으며, 암호 해독 키를 압수해 전 세계 랜섬웨어 피해자에게 제공했다. 

미 법무부는 26일(현지 시각) 이 작전 덕분에 하이브 랜섬웨어 그룹이 약 1억 3천만 달러에 달하는 몸값을 갈취하는 것을 막을 수 있었다고 밝혔다

메릭 B.갈랜드 법무부 장관은 "지난 밤 법무부가 미국을 비롯해 전 세계에 널린 피해자에게 수억 달러를 갈취한 국제 랜섬웨어 네트워크를 해체했다"라고 말했다. 

FBI는 2022년 7월 하이브의 네트워크에 침투한 이후 공격받은 하이브 피해자에게 300개 이상의 암호 해독 키를 제공했다. FBI는 또한 이전 하이브 피해자들에게 1,000개 이상의 암호 해독 키를 추가로 배포했다. 

FBI는 랜섬웨어 갈취를 저지하고자 독일 연방 형사경찰 및 로이틀링겐 경찰본부(CID Esslingen), 그리고 네덜란드 국립 하이테크 범죄 수사대와 협력해 하이브의 내부 통신망을 장악했다.
 

차세대 서비스형 랜섬웨어, 하이브 

하이브 그룹의 랜섬웨어 공격은 지금까지 병원, 학교, 금융 회사를 비롯한 중요 인프라를 포함해 전 세계 80개 이상의 국가에서 1,500명 이상의 피해자를 낳았다. 
 

사이버 보안 업체 SOC 레이더(SOCRadar)에 따르면 2022년에 탐지된 전체 랜섬웨어 공격 중 5.5%가 하이브 그룹의 소행으로 드러났다. 그 결과 2022년 가장 성행한 랜섬웨어 상위 5위에 올랐다. 

맨디언트 인텔리전스(Mandiant Intelligence, 최근 구글 클라우드에 인수됨)의 킴벌리 구디 수석 매니저는 "2022년 하이브는 맨디언트가 대응한 총 랜섬웨어 공격 중 15% 이상을 차지했다. 가장 활개를 친 랜섬웨어 공격이였다“라고 말했다. 맨디언트에 따르면 하이브 공격에 당한 것으로 알려진 피해자 중 절반가량이 미국에 있다. 

하이브는 서비스형 랜섬웨어(ransomware-as-as-service)를 운영했다. 즉 실제로 피해자를 갈취한 주체는 하이브 코드를 구매한 서비스 회원이었다. 

하이브 랜섬웨어는 공격 수법으로 이중 갈취(double extortion) 모델을 사용한다. 먼저 공격자(하이브 서비스 회원)는 피해자의 민감한 데이터를 훔쳐 암호화한다. 그런 다음 두 가지에 조건에 대한 몸값을 요구한다. 첫 번째 조건은 데이터 복구에 필요한 해독 키를 제공하는 것이며, 두 번째 조건은 해당 데이터를 게시하지 않는 것이다. 

법무부는 발표문에서 “하이브 공격자는 협박의 강도를 최대한 높이고자 시스템에서 가장 민감한 데이터를 표적으로 삼았다”라며 “피해자가 몸값을 지급하면 서비스 회원과 하이브 관리자는 이를 2:8로 나눠 가진다. 피해자가 몸값을 지급하지 않으면 하이브는 이 사람들의 데이터를 ‘하이브 리크(Hive Leak)’ 사이트에 그대로 게시했다”라고 설명했다. 
 
ⓒKISA

하이브 랜섬웨어 버전 1~4의 초기 변형은 고랑(GoLang) 언어로 개발됐다. 그러나 2022년 중반기에 한국인터넷진흥원(KISA)이 하이브 랜섬웨어 피해자를 위해 공개 암호 해독기 ‘하이브 랜섬웨어 통합 복구 도구’를 배포하자 개발 언어가 러스트 언어로 재빨리 바뀌었다. SOC 레이더에 따르면 하이브는 새로운 변종의 랜섬웨어를 만들고자 러스트 버전 5로 전환했다. 

2021년 6월부터 추산해보면 하이브 랜섬웨어 그룹은 몸값으로만 1억 달러 이상을 갈취했다. 

정보 보증 업체 NCC 그룹의 실무 책임자인 조던 라로즈는 "랜섬웨어 공격은 최근 들어 단순한 소프트웨어 기반에서 벗어나는 추세다. 개인이나 금융 데이터, 지식 재산권 같은 크리티컬 데이터를 겨냥하는 쪽으로 바뀌고 있다. 하이브 그룹이 이런 추세를 보여주는 대표적인 예다“라고 말했다. 

그는 “하이브 같은 랜섬웨어 플랫폼 덕분에 공격자가 이런 식의 공격을 자행하기 훨씬 더 쉬워졌다”라며 “따라서 [국가 기관이] 이런 플랫폼 자체를 겨냥하는 전략은 매우 효과적일 것”이라고 덧붙였따. 

현재 하이브 리크 웹사이트에는 FBI과 국제 법집행기관이 하이브의 인프라를 차단했다는 메시지가 표시되어있다. 

사이버보안 업체 크라우드스트라이크(CrowdStrike)의 애덤 마이어스 정보부장은 “FBI가 디지털 가입자 회선(DSL)과 피해자 협상 포탈을 모두 장악한 덕분에 하이브 그룹의 활동이 마비된 것이나 다름없다”라며 “두 사이트 모두 접근 못하는 상황에서 하이브 회원은 피해자와 연락하고 정보를 공개하기 위해 다른 방법을 마련해야 할 것”이라고 말했다. 
 

사이버 범죄자의 본보기?

FBI의 하이브 소탕 작전이 성공하자 법무부를 비롯한 여러 사이버 보안 회사가 찬사를 보냈다. 

법무차관 리사 O. 모나코는 “이 대대적인 21세기형 사이버 잠복 수사에서 FBI 팀이 판을 뒤집었다. 법무부는 앞으로도 피해자 보호를 최우선으로 삼아 가능한 모든 수단을 이용해 사이버 범죄에 대응할 것이다”라고 말했다. 

크리스토퍼 레이 FBI 국장은 이번 작전의 성공이 오래전부터 이어온 노력의 산물이라고 설명했다. FBI는 오랜 기간 끊임없이 피해자를 돕는 데 유용한 기술적 정보와 단서를 찾고자 노력해왔다. 이를 토대로 적의 심장부를 타격하는 작전을 벌이자 치명타를 입히는 데 성공한 것이다. 

하지만 몇몇 사이버 보안 전문가는 하이브 랜섬웨어가 운영상 큰 타격을 받았더라도 전반적인 랜섬웨어 공세가 사그라들지는 않으리라 전망했다. 

영국의 정보보안 회사 다크트레이스(Darktrace) 레드팀 운영 SVP 저스틴 피어는 “타격을 입은 인프라를 복구하자면 하이브 랜섬웨어가 하나의 제품으로서 제 모습을 찾는 데는 시간이 걸릴 것이다”라며 “하지만 서비스형 랜섬웨어라면 얘기가 다르다. 기능 중 일부를 복구하는 건 그리 어려운 일이 아니다”라고 말했다. 

그는 “안타깝지만 몇몇 피해자들의 경우 아직 공격은 끝나지 않았다. 해독 키가 있다고 해서 항상 데이터를 복구할 수 있는 건 아니다. 몸값보다 더 큰 비용을 지급해야 하는 등 데이터 복구는 기나긴 고통의 시간이 될 수도 있다”라고 주의했다.  
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.