보안정보

글로벌 정보보안 리더 윈스

Black Basta 랜섬웨어, 강탈로 1억 달러 넘게 벌어들여

분석팀 2023.11.30

몸값을 모으는 해커

 

 

한 회사들에 따르면, 러시아와 연계된 랜섬웨어 갱단 Black Basta는 2022년 4월 처음 등장한 이후 90명 이상의 피해자로부터 최소 1억 달러의 몸값을 챙겼다.

 

해킹된 시스템을 암호화하기 위해 랜섬웨어 페이로드를 대상의 네트워크에 배치하기 전에 갱단의 계열사가 손상된 시스템에서 중요한 데이터를 훔치는 이중 탈취 공격으로 전 세계적으로 329명이 넘는 피해자가 사이버 범죄의 표적이 되었다.

 

그런 다음 훔친 데이터는 Black Basta의 다크웹 유출 사이트에 게시하겠다는 위협을 받고 피해자에게 몸값을 지불하도록 압력을 가하는 데 사용된다.

 

회사의 분석에 따르면 Black Basta는 2022년 초부터 90명 이상의 피해자에 걸쳐 최소 1억700만 달러의 몸값을 받았다.

 

가장 많이 받은 몸값은 900만 달러였으며, 이 중 최소 18개의 몸값이 100만 달러를 넘었고 평균 몸값은 120만 달러였다고 밝혔다.

 

2023년 3분기까지 Black Basta 유출 사이트에 등재된 알려진 피해자 수를 기준으로 볼 때, 회사의 데이터에 따르면 알려진 Black Basta 피해자의 최소 35%가 몸값을 지불한 것으로 나타났다.

 

이는 한 랜섬웨어 협상 회사가 2022년 랜섬웨어 지급액이 사상 최저 수준임에도 불구하고 전체 랜섬웨어 피해자 중 약 41%가 몸값을 지불했다는 조사 결과와 일치한다.

 

 

공격 횟수 및 몸값 지불

 

[그림 1. 보고된 공격 및 몸값 지불 횟수]

 

 

Black Basta는 2022년 4월 Ransomware-as-a-Service(RaaS) 작전으로 등장해 이중 강탈 공격으로 전 세계 기업체를 표적으로 삼았다.

 

악명 높은 Conti 랜섬웨어 조직이 일련의 당혹스러운 데이터 유출로 인해 2022년 6월 운영을 중단한 후, 사이버 범죄 조직은 여러 그룹으로 나뉘었고, 한 파벌은 Black Basta로 추정된다.

 

미국 보건복지부는 지난 3월 발표한 보고서에서 위협 단체가 작전 첫 2주 동안 최소 20명의 피해자를 목표로 삼은 것은 이 단체가 랜섬웨어에 경험이 있고 안정적인 초기 접속처를 가지고 있다는 것을 보여준다고 밝혔다.

 

숙련된 랜섬웨어 운영자들의 정교함 수준과 다크웹 포럼에 모집하거나 광고하는 것을 꺼리는 것은 많은 사람들이 초기 블랙바스타가 러시아어를 사용하는 RaaS 위협 그룹 콘티의 브랜드일 수도 있고 다른 러시아어를 사용하는 사이버 위협 그룹과 연결되어 있을 수도 있다고 의심하는 이유를 뒷받침한다.

 

또한 Black Basta는 러시아어를 사용하는 FIN7 해킹 그룹과도 연계되어 있으며, 이 그룹은 적어도 2015년부터 활동하고 있는 유명한 재정적 동기 사이버 범죄 그룹으로 Carbanak으로도 추적되고 있다.

 

이 랜섬웨어 갱단은 출현 이후 American Dental Association , Sobeys , Knauf , Yellow Pages Canada , Toronto Public Library 및 독일 국방 계약업체 Rheinmetall을 비롯한 많은 유명 피해자에 침투하여 강탈했다.

 

Black Basta의 피해자 명단에는 영국 정부 계약으로 수십억 달러를 벌어들이는 영국 기술 아웃소싱 업체 캐피털과 산업자동화 회사이자 미국 정부 계약자인 ABB도 포함돼 매출이 290억 달러를 넘어섰다.

 

이들 모두 Black Basta의 몸값을 지불했는지 여부를 공개적으로 밝히지 않고 있다.

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/black-basta-ransomware-made-over-100-million-from-extortion/