보안정보

 

 

2019년부터 랜섬웨어 조직들은 2103개의 기업들과 관련된 데이터를 탈취하고 다크 웹에 유출시킨 것으로 파악됐다. 2013년 랜섬 웨어 초기엔 공격자는 가능한 많은 회사들을 암호화하고 복호화의 대가로 돈을 요구했다.

 

하지만 2020년 초부터 랜섬웨어는 새로운 공격 전략을 취했는데 그것은 바로 이중 갈취(double-extortion) 전략이다. 이 전략은 랜섬 웨어가 네트워크 안에 있는 모든 파일을 암호화 하기 전에 파일을 훔치는 선행 행위가 포함된다. 공격자가 암호화 된 파일에 대한 몸값을 희생자에게 요구했으나 거부할 시, 탈취한 데이터들을 다크 웹 데이터 유출 사이트에 공개적으로 공개하겠다고 협박한다.

 

암호화 된 파일들을 복구하지 못한다는 위협과 데이터 유출, 그리고 유출과 관련된 정부의 벌금과 소송들은 희생자로 하여금 공격자에게 몸값에 대한 지불을 더 강도 높게 유도할 수 있다. 다크 웹 보안 연구원으로 알려진 DarkTracer는 34개의 랜섬웨어 조직들이 운영하는 데이터 유출 사이트를 추적하고 있으며 현재 2103개의 기업의 데이터가 유출되었다고 밝혔다.

 

DarkTracer가 파악한 34개의 랜섬웨어 조직은 Team Snatch, MAZE, Conti, NetWalker, DoppelPaymer, NEMTY, Nefilim, Sekhmet, Pysa, AKO, Sodinokibi (REvil), Ragnar_Locker, Suncrypt, DarkSide, CL0P, Avaddon, LockBit, Mount Locker, Egregor, Ranzy Locker, Pay2Key, Cuba, RansomEXX, Everest, Ragnarok, BABUK LOCKER, Astro Team, LV, File Leaks, Marketo, N3tw0rm, Lorenz, Noname, XING LOCKER가 포함된다.

 

 

 

[그림 1. DarkTracer가 제공한 다크 웹에서 활동중인 랜섬웨어]

 

 

현재까지 활동하고 있는 랜섬웨어는 Conti (338 건 유출), Sodinokibi/REvil (222 유출 건수), DoppelPaymer (200 유출 건수), Avaddon (123 유출 건수), Pysa (103 유출 건수)다.

 

데이터를 탈취하는 것이 희생자의 파일을 암호화 하는 것보다 치명적이라고 판단한 랜섬 웨어 조직들은 상당한 돈을 벌어 들였다. 다른 조직들도 이러한 전략 추세를 보이고 있으며 몇 달 전부터 훔친 데이터를 판매하기 위한 새로운 데이터 시장이 구축되고 있다.

 

데이터 유출을 방지하기 위해 희생자는 몸값을 지불하는 것이 좋을 수 있다. 하지만 몸값을 지불하면 해당 데이터가 다른 조직에게 판매되지 않을 것이란 보장이 없다. 따라서 데이터가 유출된 경우 이를 데이터 침해로 취급하여 영향을 받는 사람들에게 투명하게 공개하는 것이 가장 현명하다.

 

 

출처

https://www.bleepingcomputer.com/news/security/ransomware-gangs-have-leaked-the-stolen-data-of-2-100-companies-so-far/