2025년 새롭게 등장한 랜섬웨어 그룹과 데이터 유출 사이트(DLS) 증가

Ransomware Group Data-Leak Sites Increasing as Six New Groups Emerge

Ransomware Group Data-Leak Sites Increasing as Six New Groups Emerge

 

• 새롭게 등장한 랜섬웨어 그룹
  • Cyjax 보고서에 따르면, 2025년 초에 6개의 새로운 데이터 유출 사이트(DLS)가 등장
  • 신규 랜섬웨어 그룹 목록
    • Kraken
    • Morpheus
    • GD LockerSec
    • Babuk2
    • Linkc
    • Anubis (가장 주목받는 그룹)
  • 이들 그룹은 주로 데이터 유출 사이트(DLS)를 활용해 탈취한 데이터를 단계적으로 공개하며 금전 요구 압박을 가함
• Anubis 랜섬웨어 그룹의 특징
  • Anubis는 RaaS (Ransomware-as-a-Service) 모델을 사용, 전문적인 인프라와 운영 전략을 갖춘 그룹
  • 주요 타깃 지역: 미국, 유럽, 캐나다, 호주
    • 공격 제외 대상: 구소련 국가(ex-USSR) 및 BRICS 국가
    • 공격 제한 대상: 교육, 정부, 비영리 기관
  • DLS에 현재까지 4명의 피해자가 공개되었으며, 그 중 하나는 First Defense Fire Protection (FDFP)으로 데이터 유출을 확인
  • 피해자 분석: 민감한 개인 정보(fullz), 내부 문서, 금융 세부 정보 등을 포함
• Anubis의 운영 및 수익화 모델
  • 사이버 범죄 포럼 및 소셜 미디어(X, 구 트위터)를 통해 활동 광고 및 제휴사 모집
  • 제휴 프로그램을 통해 다양한 수익 배분 모델 제공
    • 초기 접근 권한 판매: 50-50 수익 배분
    • 랜섬웨어 운영: 80-20 수익 배분
  • 고급 기능을 갖춘 랜섬웨어 바이너리 제공
    • 크로스 플랫폼 기능, 방어 회피 메커니즘, 권한 상승(Privilege Escalation) 기능 포함
• Anubis의 DLS 기능 및 전략
  • DLS 구조: "뉴스", "FAQ", "소개", "규칙" 섹션 포함
    • 피해자 및 제휴사가 쉽게 접근할 수 있도록 사용자 친화적 설계
  • 타 랜섬웨어 그룹과 달리 데이터 공개 카운트다운을 사용하지 않음
    • 대신 세부적인 데이터 유출을 통해 공격 효과 극대화
• 2025년 랜섬웨어 위협 증가와 시사점
  • 2024년 72개 DLS가 운영된 데 이어, 2025년에도 증가세 지속
  • 현대 랜섬웨어 그룹은 DLS를 주요 운영 플랫폼으로 활용
    • 단계적 데이터 공개를 통해 피해 조직에 압박을 가하는 전략 사용
  • Anubis는 저숙련 공격자라도 고급 공격을 수행할 수 있는 RaaS 모델을 제공
  • 현재 1건의 공식 피해 사례, 3건의 추가 피해자는 아직 공개적 대응이 없는 상태
• 결론
  • RaaS 모델의 진화는 랜섬웨어 공격의 진입장벽을 낮추고 공격의 정교함을 증가
  • 조직들은 사이버 보안 방어 체계 강화와 사고 대응 능력을 갖추어야 함
  • 특히 데이터 유출 감지 시스템(DLP) 및 행위 기반 탐지 시스템의 적용이 필수
  • 조직은 외부 데이터 유출 사이트 모니터링을 통해 잠재적 공격 신호를 조기에 포착할 필요